Seguridad de middleman.stmplus.cloud

[HIGH] Falta de Content-Security-Policy: La ausencia de esta cabecera facilita la ejecución de ataques de Cross-Site Scripting (XSS) e inyección de código.

[HIGH] Falta de Strict-Transport-Security: Al no existir esta directiva, no se obliga al navegador a utilizar siempre conexiones HTTPS, permitiendo ataques de degradación de SSL.

[HIGH] Fallo en redirección HTTPS: El servidor responde con éxito en el puerto 80 (HTTP) sin redirigir al puerto seguro, exponiendo la comunicación a ser escuchada por terceros.

[MEDIUM] Puerto 8080 (HTTP-Alt) abierto: La presencia de este puerto expuesto aumenta la superficie de ataque al ofrecer un servicio web alternativo potencialmente menos vigilado.

[MEDIUM] Falta de Permissions-Policy: El sitio no restringe el acceso del navegador a funciones sensibles como la cámara, el micrófono o la geolocalización.

[MEDIUM] Bloqueo total en robots.txt: El archivo impide el indexado de todo el contenido, lo cual es inusual en sitios de producción y puede ocultar rutas críticas.

[LOW] Server header expuesto: El servidor revela que utiliza la infraestructura de Cloudflare, lo que ayuda a posibles atacantes a perfilar el objetivo.

[LOW] X-Powered-By expuesto: Se detectó el uso de Next.js, revelando el framework tecnológico y facilitando la búsqueda de exploits específicos para esa versión.

[LOW] Falta de sitemap.xml: La ausencia de este archivo dificulta la auditoría de la estructura del sitio y la correcta organización de sus endpoints.