INFORME DE PRUEBA DE SEGURIDAD PRELIMINAR

Sitio: https://buscaeldoctor.com/

Insecure HTTP cookies

Cookie Name Flags missing

__cfduid Secure

Details

Descripción del riesgo:

Dado que el indicador de seguridad no está configurado en la cookie, el navegador lo enviará a

través de un canal no cifrado (HTTP simple) si se realiza dicha solicitud. Por lo tanto, existe el
riesgo de que un atacante intercepte la comunicación de texto claro entre el navegador y el
servidor y robe la cookie del usuario. Si se trata de una cookie de sesión, el atacante podría
obtener acceso no autorizado a la sesión web de la víctima.

Recomendación:

Recomendamos reconfigurar el servidor web para configurar los indicadores de seguridad para
todas las cookies confidenciales.

More information about this issue:

https://blog.dareboost.com/en/2016/12/secure-cookies-secure-httponly-flags/.

Server software and technology found

Twitter Bootstrap Web Frameworks

WordPress CMS, Blogs

WooCommerce Ecommerce

Modernizr JavaScript Frameworks

OWL Carousel Widgets

Underscore.js JavaScript Frameworks

Yoast SEO Marketing Automation

jQuery

Descripción del riesgo:

Un atacante podría usar esta información para montar ataques específicos contra el tipo y la
versión de software identificados.

Recomendación:

Le recomendamos que elimine la información que permite la identificación de la plataforma de

software, tecnología, servidor y sistema operativo: encabezados de servidor HTTP,
metainformación HTML, etc.

Más información sobre este tema:

https://owasp.org/www-project-web-security-testing-guide/stable/4-
Web_Application_Security_Testing/01-Information_Gathering/02-Fingerprint_Web_Server.html.

Server software and technology found

Encabezado de seguridad HTTP Encabezado Estado del rol

X-Frame-Options Protege contra ataques de clickjacking No establecido

X-XSS-Protection mitiga los ataques de Cross-Site Scripting (XSS) No establecido

Strict-Transport-Security Protege contra ataques de hombre en el medio No establecido

Opciones de tipo de contenido X Evita posibles ataques de phishing o XSS No establecido

Detalles

Descripción del riesgo:

Debido a que el servidor no envía el encabezado X-Frame-Options, un atacante podría insertar

este sitio web en un iframe de un sitio web de un tercero. Al manipular los atributos de
visualización del iframe, el atacante podría engañar al usuario para que haga clic con el mouse en
la aplicación, realizando actividades sin el consentimiento del usuario (por ejemplo, eliminar
usuario, suscribirse al boletín, etc.). Esto se llama un ataque de Clickjacking y se describe en detalle
aquí:

https://owasp.org/www-community/attacks/Clickjacking

El encabezado HTTP X-XSS-Protection indica al navegador que deje de cargar páginas web cuando
detecten ataques de Cross-Site Scripting (XSS) reflejados. La falta de este encabezado expone a los
usuarios de la aplicación a ataques XSS en caso de que la aplicación web contenga dicha
vulnerabilidad.

El encabezado HTTP Strict-Transport-Security le indica al navegador que no cargue el sitio web a

través de una conexión HTTP simple, sino que siempre use HTTPS. La falta de este encabezado
expone a los usuarios de la aplicación al riesgo de robo de datos o modificación no autorizada en
caso de que el atacante implemente un ataque de intermediario e intercepte la comunicación
entre el usuario y el servidor.

El encabezado HTTP X-Content-Type-Options está dirigido al navegador Internet Explorer y evita

que reinterprete el contenido de una página web (MIME-sniffing) y, por lo tanto, anule el valor del
encabezado Content-Type). La falta de este encabezado podría conducir a ataques como Cross-
Site Scripting o phishing.

Recomendación:

Le recomendamos que agregue el encabezado de respuesta HTTP X-Frame-Options a cada página

que desee proteger contra los ataques de Clickjacking.

Más información sobre este tema:

https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html

Recomendamos configurar el encabezado X-XSS-Protection en "X-XSS-Protection: 1; mode =

block".

Más información sobre este tema:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection

Recomendamos configurar el encabezado Strict-Transport-Security.

Más información sobre este tema:

https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet

Recomendamos configurar el encabezado X-Content-Type-Options en "X-Content-Type-Options:

nosniff".

Más información sobre este tema:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options

Password auto-complete is enabled

<input class="form-control" name="password" placeholder="Contraseña" type="password"/>

Details

Descripción del riesgo:

Cuando la contraseña de autocompletar está habilitada, el navegador recordará la contraseña

ingresada en el formulario de inicio de sesión, de modo que la completará automáticamente la
próxima vez que el usuario intente iniciar sesión.

Sin embargo, si un atacante obtiene acceso físico a la computadora de la víctima, puede recuperar
la contraseña guardada de la memoria del navegador y usarla para obtener acceso a la cuenta de
la víctima en la aplicación.

Además, si la aplicación también es vulnerable a las secuencias de comandos entre sitios, el

atacante podría robar la contraseña guardada de forma remota.

Recomendación:

Le recomendamos que desactive la función de autocompletar contraseña en los formularios de

inicio de sesión configurando el atributo autocomplete = "off" en todos los campos de contraseña.

Más información sobre este tema:

https://owasp.org/www-project-web-security-testing-guide/stable/4-
Web_Application_Security_Testing/04-Authentication_Testing/05-
Testing_for_Vulnerable_Remember_Password.html.