Seguridad de tubiflex.com.ar

[HIGH] Content-Security-Policy: Falta esta cabecera indispensable para prevenir ataques de Cross-Site Scripting (XSS) e inyeccion de contenido.

[HIGH] X-Frame-Options: La ausencia de esta cabecera deja el sitio vulnerable a ataques de clickjacking.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, lo que permite que el navegador acepte conexiones no cifradas.

[HIGH] Cookie PHPSESSID (HttpOnly): La cookie de sesion carece del atributo HttpOnly, permitiendo su acceso mediante scripts y facilitando el robo de sesion.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el MIME-type sniffing, aumentando el riesgo de ejecucion de archivos maliciosos.

[MEDIUM] Referrer-Policy: No se controla la informacion de navegacion enviada a otros sitios a traves de los encabezados de referencia.

[MEDIUM] Permissions-Policy: No existen restricciones sobre las APIs del navegador como la camara, el microfono o la geolocalizacion.

[MEDIUM] Cookie PHPSESSID (SameSite): La ausencia del atributo SameSite hace que la sesion sea vulnerable a ataques de Cross-Site Request Forgery (CSRF).

[MEDIUM] Contenido Mixto: Se detecto un recurso externo (stucchigroup.com) cargado mediante HTTP, lo que compromete la integridad de la conexion cifrada.

[LOW] Server header expuesto: El servidor revela el uso de LiteSpeed, facilitando la busqueda de exploits especificos por parte de atacantes.

[LOW] X-Powered-By expuesto: Se revela la version exacta de PHP (8.2.16), informacion tecnica que no deberia ser publica.

[LOW] Ruta sensible en robots.txt: Se hace referencia a una ruta "admin" que podria indicar la ubicacion de paneles de gestion internos.