Seguridad de mtc.treespace.space

[CRITICAL] Puerto 5432 (PostgreSQL) abierto: La base de datos está expuesta directamente a internet, permitiendo intentos de conexión externa y ataques de fuerza bruta.

[HIGH] Content-Security-Policy faltante: La ausencia de esta cabecera facilita la ejecución de scripts maliciosos y ataques de inyección de contenido (XSS).

[HIGH] X-Frame-Options faltante: El sitio no previene ser cargado dentro de frames externos, lo que lo hace vulnerable a ataques de clickjacking.

[HIGH] Strict-Transport-Security (HSTS) no configurado: El servidor no obliga al uso de conexiones cifradas, permitiendo posibles degradaciones de seguridad en la comunicación.

[HIGH] Cookie XSRF-TOKEN insegura: Carece de los flags Secure y HttpOnly, lo que permite que sea interceptada en redes no seguras o accedida mediante scripts.

[HIGH] Cookie laravel_session insegura: No tiene configurado el flag Secure, por lo que la sesión del usuario podría enviarse a través de conexiones no cifradas.

[MEDIUM] Puerto 22 (SSH) abierto: El servicio de administración remota es visible para cualquier atacante, aumentando la superficie de exposición del servidor.

[MEDIUM] X-Content-Type-Options faltante: La falta de esta directiva permite que los navegadores ignoren el tipo de contenido enviado, facilitando ataques de tipo MIME-sniffing.

[MEDIUM] Referrer-Policy y Permissions-Policy faltantes: No se controla la información de navegación compartida ni se restringen las APIs del navegador sensibles.

[MEDIUM] Falta de SameSite en cookies: Tanto XSRF-TOKEN como laravel_session son vulnerables a ataques de falsificación de petición en sitios cruzados (CSRF).

[LOW] Cabecera de servidor expuesta: Se revela el uso de Apache/2.4.58 (Ubuntu), proporcionando información valiosa a atacantes sobre el software del sistema.

[LOW] Falta de sitemap.xml: La ausencia de este archivo dificulta la auditoría estructurada y la indexación correcta de los recursos del sitio.