Seguridad de monederoqr.com

[HIGH] Content-Security-Policy: Falta — La ausencia de esta cabecera permite la ejecución de scripts maliciosos y ataques de inyección de contenido XSS.

[HIGH] X-Frame-Options: Falta — El sitio es vulnerable a ataques de clickjacking, permitiendo que atacantes carguen la web en marcos invisibles para engañar al usuario.

[HIGH] Cookie ssr-caching (HttpOnly): Falta — La cookie es accesible mediante JavaScript, lo que facilita el robo de sesiones en caso de una vulnerabilidad de scripts.

[HIGH] Cookie ssr-caching (Secure): Falta — La información de sesión se transmite sin el atributo de seguridad, pudiendo ser interceptada en conexiones no cifradas.

[MEDIUM] Cookie ssr-caching (SameSite): Falta — El sitio no restringe el envío de cookies en solicitudes de origen cruzado, aumentando el riesgo de ataques CSRF.

[MEDIUM] Contenido Mixto: Se detectó un recurso externo (hoja de estilo) cargado mediante HTTP en una página HTTPS, rompiendo la integridad de la conexión.

[MEDIUM] Referrer-Policy: Falta — No se controla qué información de navegación se envía a terceros al seguir enlaces externos.

[MEDIUM] Permissions-Policy: Falta — No existen restricciones sobre el acceso de las APIs del navegador a funciones sensibles como cámara o micrófono.

[MEDIUM] Robots.txt (Bloqueo total): El archivo impide el rastreo completo del sitio mediante la directiva Disallow, lo que puede afectar la visibilidad y auditoría.

[LOW] Server header expuesto: El servidor revela el software Pepyaka, facilitando la búsqueda de exploits específicos para esa tecnología.

[LOW] Meta generator expuesto: Se detectó el uso de Wix.com Website Builder, exponiendo información sobre la plataforma de desarrollo.