Seguridad de sirei.mx

[HIGH] Content-Security-Policy: La ausencia de esta cabecera facilita la ejecución de ataques Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] Cookie sin flag Secure: La cookie .AspNetCore.Antiforgery.2PCPcozloZM puede ser transmitida por canales no cifrados, arriesgando el secuestro de la sesión.

[MEDIUM] Falta de X-Content-Type-Options: Permite que el navegador intente adivinar el tipo de contenido, lo que puede derivar en la ejecución de scripts inesperados.

[MEDIUM] Falta de Referrer-Policy: No se restringe la información que el navegador envía a otros dominios al seguir enlaces, comprometiendo la privacidad de la navegación.

[MEDIUM] Falta de Permissions-Policy: El sitio no limita el acceso a funciones sensibles del dispositivo del usuario como la cámara o el micrófono.

[MEDIUM] HSTS max-age insuficiente: El tiempo de persistencia de la conexión segura es de solo 30 días, cuando el estándar de seguridad recomienda al menos 180 días.

[LOW] Cabecera Server expuesta: Se revela el uso de Microsoft-IIS/10.0, lo que permite a atacantes identificar vulnerabilidades específicas para esa tecnología.

[LOW] Cabecera X-Powered-By expuesta: Indica que el sitio corre sobre ASP.NET, proporcionando información técnica valiosa para perfilar ataques dirigidos.

[LOW] Ausencia de archivos de control: No se encontraron los archivos robots.txt ni sitemap.xml, necesarios para la gestión adecuada del rastreo y auditoría.