Seguridad de nube.utesa.edu

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts no autorizados, facilitando ataques de Cross-Site Scripting (XSS) e inyección de datos.

[HIGH] X-Frame-Options: Falta de protección contra ataques de clickjacking, lo que permitiría a un atacante cargar el sitio en marcos invisibles para engañar a los usuarios.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, lo que permite que la conexión sea degradada de HTTPS a HTTP mediante ataques de tipo interceptación.

[MEDIUM] X-Content-Type-Options: El servidor no previene el rastreo de tipos MIME, permitiendo que el navegador interprete archivos de forma incorrecta y ejecute código malicioso.

[MEDIUM] Referrer-Policy: No hay control sobre la información de referencia enviada a otros dominios, lo que puede filtrar URLs privadas a sitios de terceros.

[MEDIUM] Permissions-Policy: La falta de esta política permite que el sitio acceda innecesariamente a APIs del navegador como la cámara, el micrófono o la geolocalización.

[LOW] Server header expuesto: El servidor revela el uso de Apache/2.4.62 (Debian), lo que permite a un atacante buscar vulnerabilidades específicas para esa versión exacta.

[LOW] X-Powered-By expuesto: Se divulga el uso de PHP/8.4.12, proporcionando detalles sobre el lenguaje de programación y su versión para facilitar ataques dirigidos.

[LOW] Ausencia de robots.txt y sitemap.xml: La inexistencia de estos archivos dificulta el control de los rastreadores y la indexación correcta de la estructura del sitio.