Seguridad de movilapp.avicampo.com.co

[HIGH] Protocolo de comunicación inseguro: El sitio opera sobre HTTP sin cifrado, permitiendo la interceptación de credenciales y datos en tránsito.

[HIGH] Ausencia de Content-Security-Policy: La falta de esta cabecera facilita la ejecución de ataques XSS y la inyección de contenido malicioso.

[HIGH] Falta de X-Frame-Options: El sitio es vulnerable a ataques de clickjacking al permitir ser embebido en marcos de sitios externos.

[HIGH] Ausencia de Strict-Transport-Security: No se implementa HSTS, lo que impide forzar conexiones seguras y protegidas contra degradación de protocolo.

[HIGH] Cookie de sesión PHPSESSID sin HttpOnly: La falta de este flag permite que la cookie sea accesible mediante scripts, facilitando el robo de sesión.

[HIGH] Cookie de sesión PHPSESSID sin flag Secure: Al no estar marcada como segura, la identificación de sesión se transmite por canales no cifrados.

[MEDIUM] Falta de X-Content-Type-Options: El navegador podría interpretar archivos de forma incorrecta, permitiendo ataques de sniffing de tipo MIME.

[MEDIUM] Ausencia de Referrer-Policy: No existe control sobre la información de navegación que se comparte con otros dominios.

[MEDIUM] Falta de Permissions-Policy: El sitio no restringe el acceso a funciones sensibles del navegador como la cámara o el micrófono.

[MEDIUM] Cookie PHPSESSID sin SameSite: La ausencia de este atributo incrementa el riesgo de ataques de falsificación de petición en sitios cruzados (CSRF).

[LOW] Exposición de firma del servidor: El encabezado Server revela el uso de Apache/2.4.62, OpenSSL/3.1.7 y PHP/8.3.14, facilitando la búsqueda de exploits específicos.

[LOW] Cabecera X-Powered-By expuesta: Se confirma el uso de PHP/8.3.14, brindando información técnica innecesaria a posibles atacantes.

[LOW] Ausencia de archivos de rastreo: No se han localizado los archivos robots.txt ni sitemap.xml para la gestión de indexación.