Seguridad de pyrenees.ad

[HIGH] Falta de Content-Security-Policy: No se restringe el origen del contenido, lo que permite ataques de scripts maliciosos y XSS.

[HIGH] Falta de X-Frame-Options: El sitio es susceptible a ataques de clickjacking al permitir ser cargado dentro de marcos externos.

[HIGH] Falta de Strict-Transport-Security (HSTS): El servidor no instruye a los navegadores a usar únicamente conexiones cifradas, permitiendo posibles degradaciones de protocolo.

[HIGH] Cookies de sesión sin flag Secure: Las cookies ASP.NET_SessionId y PyreneesGMP_LANGUAGE pueden transmitirse en canales no cifrados, facilitando su interceptación.

[HIGH] Cookies sin flag HttpOnly: La cookie PyreneesGMP_LANGUAGE es accesible mediante scripts, lo que aumenta el riesgo de robo de identidad en caso de un ataque XSS.

[MEDIUM] Contenido Mixto detectado: Se carga una hoja de estilos mediante una URL HTTP insegura dentro del entorno HTTPS, comprometiendo la integridad de la página.

[MEDIUM] Puerto 8080 (HTTP-Alt) Abierto: La exposición de este puerto alternativo incrementa la superficie de ataque y puede revelar servicios internos no protegidos.

[MEDIUM] Falta de flag SameSite en cookies: La ausencia de este atributo en la cookie PyreneesGMP_LANGUAGE hace al usuario vulnerable a ataques de falsificación de petición en sitios cruzados.

[MEDIUM] Falta de X-Content-Type-Options: Permite que los navegadores realicen sniffing de tipos MIME, lo que podría derivar en la ejecución de archivos maliciosos camuflados.

[MEDIUM] Configuración de Robots.txt restrictiva: El archivo bloquea la indexación total del sitio mediante la directiva Disallow: /, lo cual es inusual para un sitio de producción.

[LOW] Cabecera Server expuesta: Revela el uso de Cloudflare, proporcionando información técnica inicial a posibles atacantes.

[LOW] Cabecera X-Powered-By expuesta: Indica directamente el uso del framework ASP.NET, permitiendo ataques dirigidos a vulnerabilidades específicas de esa tecnología.