Seguridad de sso.secureserver.net

[HIGH] Falta de Strict-Transport-Security (HSTS): La ausencia de esta cabecera permite que las conexiones puedan ser degradadas de HTTPS a HTTP, facilitando ataques de hombre en el medio.

[HIGH] Cookies de sesión sin flag HttpOnly: Cookies como fb_sessiontraffic, pathway y visitor son accesibles mediante scripts, lo que permite el robo de identidad a través de ataques XSS.

[HIGH] Cookies de sesión sin flag Secure: Varias cookies se envían a través de conexiones no cifradas, exponiendo datos sensibles en redes no seguras.

[MEDIUM] Ausencia de cabeceras de protección: Faltan X-Content-Type-Options, Referrer-Policy y Permissions-Policy, lo que deja al navegador sin instrucciones para mitigar ataques de sniffing o fugas de información.

[MEDIUM] Cookies sin atributo SameSite: La falta de esta configuración en todas las cookies detectadas incrementa el riesgo de ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Archivos técnicos expuestos: Los archivos /readme.html y /README.txt son accesibles públicamente, lo que podría revelar detalles internos sobre la infraestructura o versiones del software.

[LOW] Exposición de tecnología en cabeceras: Se detectó el uso de Envoy y el framework Express en las cabeceras Server y X-Powered-By, proporcionando información valiosa para atacantes.