Informe de Prueba de Seguridad Preliminar

INFORME DE PRUEBA DE SEGURIDAD PRELIMINAR
Sitio: https://buscaeldoctor.com/
Insecure HTTP cookies

Cookie Name Flags missing
__cfduid Secure
Details
Descripción del riesgo:
Dado que el indicador de seguridad no está configurado en la cookie, el navegador lo enviará a

través de un canal no cifrado (HTTP simple) si se realiza dicha solicitud. Por lo tanto, existe el
riesgo de que un atacante intercepte la comunicación de texto claro entre el navegador y el
servidor y robe la cookie del usuario. Si se trata de una cookie de sesión, el atacante podría
obtener acceso no autorizado a la sesión web de la víctima.
Recomendación:
Recomendamos reconfigurar el servidor web para configurar los indicadores de seguridad para
todas las cookies confidenciales.
More information about this issue:
https://blog.dareboost.com/en/2016/12/secure-cookies-secure-httponly-flags/.
Server software and technology found
Twitter Bootstrap Web Frameworks
WordPress CMS, Blogs
WooCommerce Ecommerce
Modernizr JavaScript Frameworks
OWL Carousel Widgets

Underscore.js JavaScript Frameworks
Yoast SEO Marketing Automation
jQuery
Un atacante podría usar esta información para montar ataques específicos contra el tipo y la
versión de software identificados.
Recomendación:
Le recomendamos que elimine la información que permite la identificación de la plataforma de

software, tecnología, servidor y sistema operativo: encabezados de servidor HTTP,
metainformación HTML, etc.
Más información sobre este tema:
https://owasp.org/www-project-web-security-testing-guide/stable/4-
Web_Application_Security_Testing/01-Information_Gathering/02-Fingerprint_Web_Server.html.
Server software and technology found
Encabezado de seguridad HTTP Encabezado Estado del rol
X-Frame-Options Protege contra ataques de clickjacking No establecido
X-XSS-Protection mitiga los ataques de Cross-Site Scripting (XSS) No establecido
Strict-Transport-Security Protege contra ataques de hombre en el medio No establecido
Opciones de tipo de contenido X Evita posibles ataques de phishing o XSS No establecido
Detalles
Debido a que el servidor no envía el encabezado X-Frame-Options, un atacante podría insertar

este sitio web en un iframe de un sitio web de un tercero. Al manipular los atributos de
visualización del iframe, el atacante podría engañar al usuario para que haga clic con el mouse en
la aplicación, realizando actividades sin el consentimiento del usuario (por ejemplo, eliminar
usuario, suscribirse al boletín, etc.). Esto se llama un ataque de Clickjacking y se describe en detalle
aquí:
https://owasp.org/www-community/attacks/Clickjacking
El encabezado HTTP X-XSS-Protection indica al navegador que deje de cargar páginas web cuando
detecten ataques de Cross-Site Scripting (XSS) reflejados. La falta de este encabezado expone a los
usuarios de la aplicación a ataques XSS en caso de que la aplicación web contenga dicha
vulnerabilidad.
El encabezado HTTP Strict-Transport-Security le indica al navegador que no cargue el sitio web a

través de una conexión HTTP simple, sino que siempre use HTTPS. La falta de este encabezado
expone a los usuarios de la aplicación al riesgo de robo de datos o modificación no autorizada en
caso de que el atacante implemente un ataque de intermediario e intercepte la comunicación
entre el usuario y el servidor.
El encabezado HTTP X-Content-Type-Options está dirigido al navegador Internet Explorer y evita

que reinterprete el contenido de una página web (MIME-sniffing) y, por lo tanto, anule el valor del
encabezado Content-Type). La falta de este encabezado podría conducir a ataques como Cross-
Site Scripting o phishing.
Recomendación:
Le recomendamos que agregue el encabezado de respuesta HTTP X-Frame-Options a cada página

que desee proteger contra los ataques de Clickjacking.
https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html
Recomendamos configurar el encabezado X-XSS-Protection en "X-XSS-Protection: 1; mode =

block".
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
Recomendamos configurar el encabezado Strict-Transport-Security.

https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet
Recomendamos configurar el encabezado X-Content-Type-Options en "X-Content-Type-Options:

nosniff".
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options
Password auto-complete is enabled
<input class="form-control" name="password" placeholder="Contraseña" type="password"/>
Details
Cuando la contraseña de autocompletar está habilitada, el navegador recordará la contraseña

ingresada en el formulario de inicio de sesión, de modo que la completará automáticamente la
próxima vez que el usuario intente iniciar sesión.
Sin embargo, si un atacante obtiene acceso físico a la computadora de la víctima, puede recuperar
la contraseña guardada de la memoria del navegador y usarla para obtener acceso a la cuenta de
la víctima en la aplicación.
Además, si la aplicación también es vulnerable a las secuencias de comandos entre sitios, el

atacante podría robar la contraseña guardada de forma remota.
Recomendación:
Le recomendamos que desactive la función de autocompletar contraseña en los formularios de

inicio de sesión configurando el atributo autocomplete = "off" en todos los campos de contraseña.
https://owasp.org/www-project-web-security-testing-guide/stable/4-
Web_Application_Security_Testing/04-Authentication_Testing/05-
Testing_for_Vulnerable_Remember_Password.html.

Informe de Prueba de Seguridad Preliminar

Cargado por

Copyright:

Formatos disponibles

Informe de Prueba de Seguridad Preliminar

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe de Prueba de Seguridad Preliminar

Cargado por

Copyright:

Formatos disponibles

INFORME DE PRUEBA DE SEGURIDAD PRELIMINAR

Insecure HTTP cookies

Descripción del riesgo:

Dado que el indicador de seguridad no está configurado en la cookie, el navegador lo enviará a

More information about this issue:

Server software and technology found

Twitter Bootstrap Web Frameworks

WordPress CMS, Blogs

Modernizr JavaScript Frameworks

OWL Carousel Widgets

Yoast SEO Marketing Automation

Descripción del riesgo:

Le recomendamos que elimine la información que permite la identificación de la plataforma de

Más información sobre este tema:

Server software and technology found

Encabezado de seguridad HTTP Encabezado Estado del rol

X-Frame-Options Protege contra ataques de clickjacking No establecido

X-XSS-Protection mitiga los ataques de Cross-Site Scripting (XSS) No establecido

Strict-Transport-Security Protege contra ataques de hombre en el medio No establecido

Opciones de tipo de contenido X Evita posibles ataques de phishing o XSS No establecido

Descripción del riesgo:

Debido a que el servidor no envía el encabezado X-Frame-Options, un atacante podría insertar

El encabezado HTTP Strict-Transport-Security le indica al navegador que no cargue el sitio web a

El encabezado HTTP X-Content-Type-Options está dirigido al navegador Internet Explorer y evita

Le recomendamos que agregue el encabezado de respuesta HTTP X-Frame-Options a cada página

Más información sobre este tema:

Recomendamos configurar el encabezado X-XSS-Protection en "X-XSS-Protection: 1; mode =

Más información sobre este tema:

Recomendamos configurar el encabezado Strict-Transport-Security.

Más información sobre este tema:

Recomendamos configurar el encabezado X-Content-Type-Options en "X-Content-Type-Options:

Más información sobre este tema:

Password auto-complete is enabled

<input class="form-control" name="password" placeholder="Contraseña" type="password"/>

Descripción del riesgo:

Cuando la contraseña de autocompletar está habilitada, el navegador recordará la contraseña

Además, si la aplicación también es vulnerable a las secuencias de comandos entre sitios, el

Le recomendamos que desactive la función de autocompletar contraseña en los formularios de

Más información sobre este tema:

También podría gustarte