Seguridad de oregons.duckdns.org

[HIGH] Content-Security-Policy: Falta esta cabecera que previene ataques de inyección de código y scripts maliciosos XSS.

[HIGH] X-Frame-Options: La ausencia de esta directiva permite que el sitio sea embebido en marcos externos, facilitando ataques de Clickjacking.

[HIGH] Strict-Transport-Security: No se detectó configuración HSTS, lo que impide que el navegador fuerce conexiones seguras de forma persistente.

[HIGH] Cookie PHPSESSID - Flag HttpOnly: La cookie de sesión es accesible mediante scripts, lo que permite el robo de identidad en caso de XSS.

[HIGH] Cookie PHPSESSID - Flag Secure: La sesión puede ser transmitida por canales no cifrados, exponiendo las credenciales del usuario en redes públicas.

[MEDIUM] X-Content-Type-Options: Falta la protección contra MIME-sniffing, permitiendo que el navegador interprete archivos de forma incorrecta y peligrosa.

[MEDIUM] Cookie PHPSESSID - Flag SameSite: La ausencia de este flag incrementa el riesgo de ataques de falsificación de petición en sitios cruzados CSRF.

[MEDIUM] Puerto 22 (SSH) abierto: El puerto de administración remota está expuesto públicamente, lo que aumenta la superficie de ataque para intentos de intrusión.

[MEDIUM] Referrer-Policy: No existe control sobre la información de navegación que se comparte con sitios externos al hacer clic en enlaces.

[MEDIUM] Permissions-Policy: No se restringe el acceso del navegador a funciones sensibles como la cámara, el micrófono o la ubicación.

[LOW] Server header expuesto: El servidor revela que utiliza Apache/2.4.58 en Ubuntu, información útil para que un atacante busque vulnerabilidades específicas.

[LOW] Archivos de estructura faltantes: No se encontraron los archivos robots.txt ni sitemap.xml, esenciales para la gestión de rastreo y visibilidad.