Seguridad de x.com

[HIGH] Cookie guest_id: Falta el atributo HttpOnly, lo que permite que la cookie sea accesible mediante scripts y facilita ataques de Cross-Site Scripting (XSS).

[HIGH] Cookie ct0: Falta el atributo HttpOnly, dejando la sesión vulnerable al robo de información a través de código malicioso en el navegador.

[MEDIUM] Referrer-Policy: La cabecera está ausente, impidiendo el control sobre qué información de procedencia se envía a otros sitios web.

[MEDIUM] Permissions-Policy: La cabecera está ausente, lo que no restringe el uso de funcionalidades sensibles del navegador como la cámara o el micrófono.

[MEDIUM] Archivo /readme.html expuesto: Este archivo es accesible públicamente y puede ser utilizado para obtener detalles técnicos sobre la plataforma.

[MEDIUM] Archivo /README.txt expuesto: La exposición de este documento facilita la recolección de información sobre la estructura interna del sitio.

[MEDIUM] Paneles de login expuestos: Se detectaron rutas accesibles como /wp-login.php, /administrator/ y /user/login que podrían recibir ataques de fuerza bruta.

[MEDIUM] Cookie __cf_bm: Falta el atributo SameSite, lo que incrementa el riesgo de sufrir ataques de Cross-Site Request Forgery (CSRF).

[MEDIUM] Puerto 8080 abierto: Se detectó un servidor alternativo o proxy activo que aumenta la superficie de ataque fuera de los puertos estándar.

[MEDIUM] Bloqueo total en robots.txt: El sitio bloquea completamente el rastreo, lo cual puede ser una configuración defensiva o un error de visibilidad.

[LOW] Server header expuesto: Revela el uso de cloudflare envoy, proporcionando pistas a un atacante sobre la infraestructura tecnológica.

[LOW] X-Powered-By expuesto: Indica explícitamente el uso del framework Express, facilitando la búsqueda de vulnerabilidades específicas para esa tecnología.