Seguridad de quixada.ce.gov.br

[HIGH] Content-Security-Policy: La ausencia de esta cabecera facilita la ejecución de ataques XSS y la inyección de contenido malicioso.

[HIGH] X-Frame-Options: La falta de esta directiva permite que el sitio sea embebido en marcos externos, facilitando ataques de clickjacking.

[HIGH] Strict-Transport-Security: No se fuerza una conexión segura a nivel de navegador, permitiendo posibles ataques de degradación de protocolo.

[HIGH] HSTS: El mecanismo de seguridad de transporte no está configurado, lo que impide que el navegador exija siempre HTTPS.

[MEDIUM] Contenido Mixto: Se detectaron 27 recursos cargados mediante HTTP en una página protegida por SSL, lo que compromete la integridad de la sesión.

[MEDIUM] X-Content-Type-Options: La ausencia de esta cabecera permite el sniffing de tipos MIME, lo que puede derivar en la ejecución de archivos inesperados.

[MEDIUM] Archivos /readme.html y /README.txt: Estos archivos son accesibles públicamente y pueden exponer información técnica sobre la infraestructura interna.

[MEDIUM] Referrer-Policy: No existe control sobre la información que se envía a otros dominios al seguir enlaces salientes.

[MEDIUM] Permissions-Policy: No se restringe el acceso de las APIs del navegador a componentes sensibles como cámara o geolocalización.

[MEDIUM] Bloqueo total en robots.txt: El archivo bloquea la indexación de todo el sitio, lo que podría afectar la visibilidad legítima del portal.

[LOW] Server header expuesto: El encabezado revela el uso de nginx, proporcionando información útil para un atacante sobre la tecnología del servidor.