METODOLOGÍA DE CALIFICACIÓN SEGURIDAD WEB

  • Al inicio de la prueba, la puntuación se establece en 100.
  • Se suman puntos por una configuración buena y fiable de tu sitio web y servidor web.
  • Se restan puntos por configuraciones inseguras, incompletas o poco fiables de tu sitio web o servidor web.
  • La puntuación total para todos los CMS y componentes de CMS detectados no bajará de -50 ni subirá por encima de +50.
  • La puntuación total para todos los componentes de JavaScript detectados no bajará de -20 ni subirá por encima de +20.
  • La puntuación total para todos los métodos HTTP y CSP no bajará de -30 ni subirá por encima de +30.
  • La puntuación total para todas las cookies no bajará de -10 ni subirá por encima de +10.
  • Ningún sitio web puede obtener una puntuación superior a "C" si se encuentra un software vulnerable.
  • Ningún sitio web puede obtener una puntuación superior a "B+" si el CMS no está actualizado.
  • Ningún sitio web puede obtener una puntuación inferior a "C" si su CMS y sus componentes de CMS no tienen vulnerabilidades conocidas.
  • El servidor recibe una "N" si un puerto probado está cerrado o el código de estado HTTP no es 200, 301, 302, 303, 307 o 308.
Calificación
Puntuación
Calificación
Puntuación
Calificación
Puntuación
A+
Puntuación superior a 100
A
Puntuación entre 90 y 99
A-
Puntuación entre 80 y 89
B+
Puntuación entre 70 y 79
B
Puntuación entre 60 y 69
B-
Puntuación entre 50 y 59
C+
Puntuación entre 35 y 49
C
Puntuación entre 20 y 34
F
Puntuación inferior a 20

Se detectó malware de cryptojacking

Descripción
Puntuación
WAF presente
Scoring
WAF ausente
-5
CMS actualizado
+20
CMS no actualizado
-15
CMS no actualizado y vulnerable
-50
Componente de CMS actualizado
+15
Componente de CMS no actualizado
-10
Componente de CMS no actualizado y vulnerable
-30
Componente de JS actualizado
+ 10
Componente de JS no actualizado
-5
Componente de JS no actualizado y vulnerable
-30
Servidor compatible con métodos HTTP personalizados
-10
Servidor compatible con métodos HTTP TRACE, TRACK o CONNECT
-10
Una cookie no tiene establecida la bandera HttpOnly
-5
Una cookie tiene establecida la bandera Secure
+5
Una cookie tiene la bandera SameSite configurada como Lax
+5
Una cookie tiene la bandera SameSite configurada como Strict
+5
Una cookie no tiene la bandera SameSite configurada
-1
Un nombre de cookie tiene el prefijo "__Secure-" y cumple con sus requisitos
+5
Un nombre de cookie tiene el prefijo "__Host-" y cumple con sus requisitos
+5
Listado de directorios del servidor web habilitado
-10
El sitio web utiliza recursos de dominios de terceros que no se pueden resolver
-30
-50

Puntuación de Encabezados de Seguridad HTTP y Directiva de Seguridad de Contenido

Nombre del encabezado
Descripción
Mediante HTTPS
Mediante HTTPS
Baimenak-Policy
Goiburua bertan dago eta balio du
+15
+15
Baimenak-Policy
Goiburua bertan dago eta gaizki konfiguratuta dago
-10
-10
Access-Control-Allow-Origin
Goiburua presente eta baliozkoa
+5
+5
Strict-Transport-Security
Goiburua presente, baliozkoa eta aplikatua
0
+25
Strict-Transport-Security
Goiburukoa ez dago
0
-20
Strict-Transport-Security
Goiburuak 6 hilabete baino gutxiago irauten du
0
10
Strict-Transport-Security
Zerbitzariaren ziurtagiria ez da konfiantzazkoa
0
-1
X-Frame-Options
Goiburua presente eta baliozkoa
+15
+15
X-Frame-Options
Goiburuaren balioa ALLOWALL
-10
-10
X-Content-Type-Options
Goiburua presente eta baliozkoa
+15
+15
X-Content-Type-Options
Goiburukorik ez
-10
-10
Content-Security-Policy
Goiburua badago
+20
+20
Content-Security-Policy
Goiburua ez dago
-20
-20
Content-Security-Policy
Goiburuak 'none' edo 'self' gisa konfiguratutako default-src bat du
+5
+5
Content-Security-Policy
Goiburuak komodin bat du helbide default-src direktiban
-10
-10
Content-Security-Policy
Goiburuak komodin bat du beste edozein direktibatan
-10
0
Content-Security-Policy
Goiburuak aukerak frame-ancestors direktiba konfiguratuta eta iturriak mugatuta ditu, eta X-Frame-Options goiburua ez dago konfiguratuta
+10
+10
Content-Security-Policy
Goiburuak frame-ancestors direktiba komodinez konfiguratua du, eta X-Frame-Options goiburua ez dago konfiguratuta
+5
+5
Content-Security-Policy
Goiburuak frame-ancestors direktiba konfiguratua du, eta bat dator X-Frame-Options goiburuaren balioarekin
+5
+5
Content-Security-Policy
Goiburuak frame-ancestors direktiba konfiguratua du, eta ez dator bat X-Frame-Options goiburuaren balioarekin
-5
-5
Content-Security-Policy
Goiburuak XSS en blokeoa gaitzen du
+15
+15
Content-Security-Policy
Goiburua aukerak XSS iragazteko aukera ematen du
+15
+15
Content-Security-Policy
Goiburuak reflected-xss direktiba konfiguratua du
+5
+5
Content-Security-Policy
Goiburuak upgrade-insecure-requests edo block-all-mixed-content zuzentaraua du konfiguratuta
+5
+5
Server
Goiburuak zerbitzariaren softwarearen bertsioa bistaratzen du
-5
-5
X-Powered-By
Goiburuak zerbitzariaren softwarearen bertsioa erakusten du
-5
-5
X-AspNet-Version
Goiburuak zerbitzariaren softwarearen bertsioa erakutsiko du
-5
-5
-5
-5