Seguridad de portalcso.inelcom.com

[CRITICAL] Puerto 3306 (MySQL) ABIERTO: La base de datos es accesible desde internet, lo que permite ataques directos de fuerza bruta o explotación de vulnerabilidades del servicio.

[HIGH] Content-Security-Policy (CSP) Faltante: El sitio carece de políticas para restringir el origen de scripts y recursos, facilitando ataques de inyección de contenido y XSS.

[HIGH] X-Frame-Options Faltante: La ausencia de esta cabecera permite que el portal sea cargado dentro de marcos externos, exponiéndolo a ataques de clickjacking.

[HIGH] Strict-Transport-Security (HSTS) Faltante: No se obliga al navegador a usar conexiones HTTPS de forma permanente, permitiendo ataques de degradación de protocolo.

[MEDIUM] X-Content-Type-Options Faltante: El servidor no previene el MIME-type sniffing, lo que podría derivar en la ejecución de archivos maliciosos disfrazados de otros tipos de datos.

[MEDIUM] Referrer-Policy Faltante: No hay control sobre la información de navegación enviada en las peticiones salientes, pudiendo filtrar rutas internas.

[MEDIUM] Permissions-Policy Faltante: No se restringen las capacidades del navegador para acceder a hardware o APIs sensibles como la cámara o geolocalización.

[MEDIUM] Cookie PHPSESSID sin atributo SameSite: La sesión de usuario es vulnerable a ataques de falsificación de petición en sitios cruzados (CSRF).

[LOW] Server header expuesto (Apache/2.4.65 Ubuntu): Se revela la tecnología y versión exacta del servidor web, ayudando a atacantes a buscar vulnerabilidades específicas.

[LOW] Ausencia de archivos de control (robots.txt y sitemap.xml): No se han definido reglas de rastreo ni estructuras de indexación para los motores de búsqueda.