Seguridad de sacosta.idte.app

[HIGH] Ausencia de Content-Security-Policy: La falta de esta cabecera facilita ataques de inyección de contenido y Cross-Site Scripting (XSS).

[HIGH] Falta de X-Frame-Options: Permite que el sitio sea cargado en iframes ajenos, exponiendo a los usuarios a ataques de clickjacking.

[HIGH] Strict-Transport-Security no configurado: El servidor no obliga al navegador a usar conexiones seguras, permitiendo ataques de interceptación.

[HIGH] Fallo en redirección HTTP a HTTPS: El sitio permite el acceso mediante el protocolo HTTP no cifrado sin redirigir automáticamente a la versión segura.

[MEDIUM] Contenido mixto detectado: Se carga un recurso de Google Fonts a través de una conexión HTTP insegura dentro de la página HTTPS.

[MEDIUM] Puerto 8080 (HTTP-Alt) abierto: La exposición de este puerto alternativo aumenta la superficie de ataque y puede revelar servicios internos.

[MEDIUM] Falta de X-Content-Type-Options: El navegador podría intentar interpretar archivos como un tipo MIME distinto al declarado, facilitando la ejecución de scripts maliciosos.

[MEDIUM] Referrer-Policy no establecido: No existe control sobre la información de navegación que se envía a otros sitios web mediante los enlaces.

[MEDIUM] Permissions-Policy ausente: No se restringe el acceso del navegador a funciones sensibles como la cámara, el micrófono o la geolocalización.

[MEDIUM] Configuración de robots.txt restrictiva: El archivo bloquea el acceso a todo el sitio, lo cual suele ser una configuración errónea para sitios públicos.

[LOW] Exposición de cabecera Server: Se revela que el sitio utiliza la tecnología Cloudflare, ayudando a un atacante a identificar la infraestructura.

[LOW] Exposición de cabecera X-Powered-By: Se muestra explícitamente el uso de PHP/8.4.19, permitiendo la búsqueda de vulnerabilidades específicas para esta versión.

[LOW] Sitemap.xml no encontrado: La ausencia de este archivo dificulta la auditoría de rutas y la indexación correcta de los contenidos del sitio.