Seguridad de siiac.junaeb.cl

[HIGH] Content-Security-Policy: La ausencia de esta cabecera facilita la ejecución de ataques Cross-Site Scripting (XSS) e inyecciones de contenido malicioso.

[HIGH] Strict-Transport-Security: Al no tener configurado HSTS, el sitio no obliga al navegador a usar conexiones HTTPS, permitiendo posibles degradaciones de seguridad.

[HIGH] Cookie Secure Flag: Las cookies GX_CLIENT_ID, GX_SESSION_ID y JSESSIONID no tienen el atributo Secure, lo que permite que viajen a través de conexiones HTTP no cifradas.

[HIGH] HSTS (Strict-Transport-Security): Aunque existe redirección a HTTPS, la falta de la cabecera HSTS deja una ventana de vulnerabilidad en el primer contacto del usuario con el servidor.

[MEDIUM] Cookie SameSite Flag: Las cookies de sesión carecen del atributo SameSite, lo que expone a los usuarios a ataques de falsificación de peticiones en sitios cruzados (CSRF).

[MEDIUM] Referrer-Policy: No se ha definido una política de referencia, lo que puede causar la filtración involuntaria de información de navegación hacia dominios externos.

[MEDIUM] Permissions-Policy: La falta de esta cabecera permite que el navegador acceda a APIs sensibles (cámara, micrófono, geolocalización) sin restricciones de seguridad adicionales.

[MEDIUM] Archivos informativos expuestos: Los archivos /readme.html y /README.txt son accesibles públicamente, lo cual podría revelar detalles técnicos sobre la infraestructura o versiones del software.

[LOW] Server header expuesto: El servidor responde con la cabecera "Server: nginx", revelando la tecnología subyacente y facilitando la búsqueda de exploits específicos para esa versión.