Seguridad de tallerssh.nat.cu

[HIGH] Falta de Content-Security-Policy: La ausencia de esta cabecera permite ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] Falta de X-Frame-Options: El sitio es vulnerable a ataques de clickjacking al permitir que su contenido sea embebido en marcos de otras webs.

[HIGH] Falta de Strict-Transport-Security: No se obliga al navegador a usar conexiones HTTPS mediante HSTS, facilitando ataques de degradación de SSL.

[HIGH] Cookie frontend_lang sin flag HttpOnly: Esta vulnerabilidad permite que scripts del lado del cliente accedan a la cookie, facilitando el robo de información en ataques XSS.

[HIGH] Cookies sin flag Secure: Las cookies session_id y frontend_lang se envían sin el flag de seguridad, lo que permite su interceptación en conexiones no cifradas.

[MEDIUM] Cookies sin flag SameSite: La falta de este atributo en las cookies de sesión hace que el sitio sea susceptible a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Contenido Mixto detectado: Existen dos recursos cargados mediante HTTP (odoo.com) en una página cifrada con HTTPS, lo que compromete la integridad de la conexión.

[MEDIUM] Falta de X-Content-Type-Options: La ausencia de esta cabecera permite el sniffing de tipos MIME, lo que podría derivar en la ejecución de archivos maliciosos.

[MEDIUM] Falta de Referrer-Policy y Permissions-Policy: No se controla la información de navegación enviada a otros sitios ni se restringen APIs sensibles del navegador como la cámara o el micrófono.

[LOW] Cabecera Server expuesta: Se revela el uso de Werkzeug 2.0.2 y Python 3.10.12, información técnica que ayuda a un atacante a buscar vulnerabilidades específicas.

[LOW] Meta generator expuesto: El código fuente revela directamente que el sitio utiliza el CMS Odoo, facilitando el reconocimiento del sistema.