Credentials Transported over an Encrypted Channel

• Testing for Credentials Transported over an Encrypted Channel (WSTG-ATHN-01)

Inspect Traffic

Check SSL Certificate

URL="www.megacorpone.com"
sslscan $URL

Reporting

CVSS Score v3	Variable
CVSS Vector v3	Example (7.3, High): https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N

English

Title
Description
Steps to reproduce
Remediation	It is recommended to …

French

Title	Informations non encryptées en transit / HTTP
Description	Le serveur web de l’application ne force pas l’encryption des informations en transit avec HTTPS. L’utilisation du protocole HTTP est permise. Une personne mal intentionnée peut obtenir des informations de connexion en observant le trafic réseau.
Steps to reproduce	Démarrer Wireshark et capturer les paquets. Ouvrir une fenêtre de navigation privée dans Firefox. Aller à l’URL de l’application. Entrer les informations de connexion. L’application utilise HTTP et non HTTPS. Include screenshots.
Remediation	Il est recommandé de forcer l’utilisation de HTTPS (et non HTTP). La difficulté de correction est évaluée à “Simple”.