Seguridad de service.ceos.digital

[HIGH] Content-Security-Policy: Su ausencia permite ataques de inyección de contenido y Cross-Site Scripting (XSS) al no restringir el origen de los recursos.

[HIGH] X-Frame-Options: La falta de esta cabecera hace que el sitio sea susceptible a ataques de clickjacking, permitiendo que sea embebido en marcos maliciosos.

[HIGH] Strict-Transport-Security: No se implementa HSTS, lo que impide forzar conexiones seguras y facilita ataques de degradación de protocolo (SSL Stripping).

[MEDIUM] X-Content-Type-Options: La falta de esta directiva permite que el navegador intente adivinar el tipo de contenido, abriendo la puerta a ataques de sniffing de MIME-type.

[MEDIUM] Referrer-Policy: No existe control sobre la información de referencia enviada a otros sitios, lo que podría filtrar datos de navegación privados.

[MEDIUM] Permissions-Policy: No se restringe el acceso de la aplicación a APIs sensibles del navegador como la cámara, el micrófono o la ubicación.

[LOW] Server header expuesto: El servidor revela el uso de Microsoft-IIS/10.0, proporcionando información valiosa para que un atacante busque exploits específicos de esa versión.

[LOW] X-Powered-By expuesto: Se divulga el uso del framework ASP.NET, lo que ayuda a perfilar la tecnología interna del sitio para ataques dirigidos.

[LOW] Ausencia de archivos de rastreo: No se encontraron robots.txt ni sitemap.xml, lo que dificulta la gestión de indexación y puede exponer directorios no deseados.