Seguridad de psycool.app

[HIGH] Falta de Content-Security-Policy: La ausencia de esta cabecera facilita ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] Falta de X-Frame-Options: No hay protección contra clickjacking, permitiendo que el sitio sea embebido en marcos externos fraudulentos.

[HIGH] Falta de Strict-Transport-Security: La ausencia de HSTS permite que las conexiones puedan ser degradadas a HTTP inseguro por un atacante.

[MEDIUM] X-Content-Type-Options ausente: El navegador podría intentar interpretar archivos con tipos MIME incorrectos, facilitando la ejecución de scripts.

[MEDIUM] Referrer-Policy ausente: No se controla la información de procedencia enviada a otros sitios, lo que puede filtrar datos de navegación.

[MEDIUM] Permissions-Policy ausente: No se restringe el acceso a APIs críticas del navegador como la cámara, el micrófono o la ubicación del usuario.

[MEDIUM] Archivos readme.html y README.txt expuestos: Estos documentos son accesibles públicamente y pueden revelar información técnica sobre la infraestructura.

[MEDIUM] Paneles de gestión expuestos: Las rutas /administrator/ y /user/login están abiertas al público, aumentando el riesgo de ataques de fuerza bruta.

[MEDIUM] Puerto 22 (SSH) abierto: El acceso remoto está expuesto a Internet, representando un vector de entrada si no está debidamente fortificado.

[MEDIUM] Puerto 8080 (HTTP-Alt) abierto: La presencia de un servidor alternativo o proxy puede introducir vulnerabilidades adicionales no supervisadas.

[LOW] Cabecera Server expuesta: Se revela el uso de nginx/1.29.6, facilitando a un atacante la búsqueda de exploits específicos para esa versión.