Seguridad de share.google

[HIGH] Versión de WordPress expuesta: Se detectó la versión 1.2.3, lo cual permite a potenciales atacantes identificar y explotar CVEs específicos de una versión obsoleta.

[HIGH] Falta de Content-Security-Policy: La ausencia de esta cabecera facilita ataques de Cross-Site Scripting (XSS) y la inyección de contenido malicioso.

[HIGH] Falta de X-Frame-Options: El sitio es vulnerable a clickjacking, permitiendo que sea cargado en iframes para engañar a los usuarios.

[HIGH] Falta de Strict-Transport-Security: La carencia de HSTS impide obligar al navegador a usar siempre conexiones seguras.

[HIGH] Redirección HTTPS inexistente: El servidor responde por HTTP (200 OK) sin redirigir al protocolo seguro, exponiendo datos en tránsito.

[HIGH] Cookie PHPSESSID insegura: Faltan los atributos HttpOnly y Secure, permitiendo el acceso a la sesión mediante scripts y el envío de datos por canales no cifrados.

[MEDIUM] X-Content-Type-Options ausente: El servidor no previene el sniffing de tipos MIME, lo que podría llevar a la ejecución de contenido inesperado.

[MEDIUM] Archivos de información expuestos: Los archivos /readme.html y /README.txt son accesibles, revelando detalles sobre la infraestructura interna.

[MEDIUM] Cookie PHPSESSID sin SameSite: La falta de este atributo hace que las sesiones de los usuarios sean vulnerables a ataques de falsificación de peticiones en sitios cruzados (CSRF).

[MEDIUM] Referrer-Policy y Permissions-Policy faltantes: No se controla la información de procedencia enviada a terceros ni se restringen las APIs del navegador como cámara o micrófono.

[LOW] Cabecera Server expuesta: Se revela el uso de nginx, lo que ayuda a los atacantes a acotar las técnicas de explotación según el software del servidor.

[LOW] X-Powered-By expuesto: El banner revela el uso de PHP/7.4.33 y PleskLin, ofreciendo información técnica sensible sobre el framework de ejecución.