Seguridad de tecno12-18.com

[HIGH] Falta de Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts maliciosos y ataques de inyección de contenido XSS.

[HIGH] Falta de X-Frame-Options: El sitio es vulnerable a ataques de clickjacking, permitiendo que atacantes carguen la web en marcos externos para engañar al usuario.

[HIGH] Falta de Strict-Transport-Security: No se fuerza el uso de HTTPS en el navegador, lo que facilita ataques de degradación de conexión.

[HIGH] Cookie de sesión insegura (HttpOnly): La cookie ASPSESSIONIDCGRDARTA carece del atributo HttpOnly, permitiendo que sea robada mediante scripts maliciosos.

[HIGH] Puerto 21 (FTP) abierto: Este servicio transfiere datos y credenciales en texto plano, siendo altamente vulnerable a interceptaciones.

[MEDIUM] Falta de X-Content-Type-Options: El sitio no previene el sniffing de tipos MIME, lo que podría llevar a la ejecución de archivos con contenido inesperado.

[MEDIUM] Falta de Referrer-Policy: No se controla la información de procedencia enviada a sitios externos, pudiendo filtrar rutas privadas.

[MEDIUM] Falta de Permissions-Policy: El navegador no tiene restricciones para acceder a APIs sensibles como la cámara o el micrófono.

[MEDIUM] Cookie de sesión insegura (SameSite): La falta de este atributo hace que el sitio sea susceptible a ataques de falsificación de solicitudes entre sitios (CSRF).

[MEDIUM] Archivos y rutas informativas expuestas: La presencia de archivos como /readme.html y paneles de acceso como /administrator/ facilita el reconocimiento para atacantes.

[MEDIUM] Configuración restrictiva en robots.txt: Se bloquea el rastreo completo del sitio, lo cual es una práctica inusual que no sustituye la seguridad real.

[LOW] Cabecera Server expuesta: Se revela el uso de Microsoft-IIS/10.0, proporcionando información técnica valiosa para explotar vulnerabilidades específicas del software.