Seguridad de matricula.utp.ac.pa

[HIGH] Content-Security-Policy: Falta esta cabecera esencial para prevenir ataques de ejecución de scripts cruzados (XSS) e inyecciones de contenido.

[HIGH] X-Frame-Options: La ausencia de esta protección hace que el sitio sea vulnerable a ataques de clickjacking.

[HIGH] Strict-Transport-Security: No se fuerza el uso de HTTPS mediante HSTS, permitiendo posibles degradaciones de seguridad en la conexión.

[MEDIUM] Contenido Mixto: Se detectaron 6 recursos cargados mediante HTTP en una página HTTPS, lo que expone al usuario a ataques de interceptación de datos.

[MEDIUM] Cookie AntiXsrfToken: El token de seguridad carece del atributo SameSite, facilitando la ejecución de ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Archivos Informativos Expuestos: Los archivos /readme.html y /README.txt son accesibles públicamente y pueden revelar detalles técnicos del servidor.

[MEDIUM] Paneles de Login Expuestos: Se detectó acceso público a rutas críticas como /wp-login.php, /administrator/ y /user/login, aumentando el riesgo de ataques de fuerza bruta.

[MEDIUM] Puerto 8080 Abierto: La presencia del puerto HTTP-Alt activo representa un vector de ataque adicional si no está restringido correctamente.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite que el navegador intente adivinar el tipo de contenido, facilitando ataques de MIME-sniffing.

[MEDIUM] Referrer-Policy y Permissions-Policy: Ausencia de controles sobre la información de procedencia y el uso de APIs del navegador como cámara o micrófono.

[LOW] Exposición de Tecnologías: Las cabeceras del servidor revelan explícitamente el uso de Cloudflare y el framework ASP.NET, facilitando el reconocimiento a atacantes.