Seguridad de pntc.miambiente.gob.pa

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso al no restringir las fuentes de recursos.

[HIGH] Cookie PHPSESSID (flag Secure): La falta del flag Secure permite que la cookie de sesión se envíe a través de conexiones HTTP no cifradas, facilitando la interceptación de la sesión.

[HIGH] Cookie sc_actual_lang_pntc (flag Secure): Esta cookie se transmite sin protección de cifrado, lo que expone datos de navegación en redes no seguras.

[MEDIUM] Cookie PHPSESSID (flag SameSite): Al carecer del flag SameSite, el sitio es susceptible a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Cookie sc_actual_lang_pntc (flag SameSite): La ausencia de esta restricción facilita que sitios externos puedan manipular o acceder a peticiones vinculadas a esta cookie.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite que el navegador intente adivinar el tipo de contenido (MIME-sniffing), lo que puede derivar en la ejecución de scripts disfrazados.

[MEDIUM] Referrer-Policy: No se tiene control sobre la información de procedencia enviada a otros dominios, lo que podría filtrar URLs privadas o sensibles.

[MEDIUM] Permissions-Policy: El sitio no restringe el acceso a APIs del navegador como la cámara o el micrófono, aumentando la superficie de ataque en el lado del cliente.

[LOW] Server header expuesto: El servidor responde con la firma Apache/2.4.62 (Debian), revelando versiones exactas del software y sistema operativo que pueden ser buscadas para exploits conocidos.

[LOW] sitemap.xml: El archivo no fue encontrado (404), lo que dificulta la indexación estructurada y el análisis de la arquitectura del sitio.