Okta Hardening
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Van 'n aanvaller se perspektief is dit baie interessant aangesien jy alle geregistreerde gebruikers sal kan sien, hul e-pos adresse, die groepe waarvan hulle deel is, profiele en selfs toestelle (mobiele saam met hul OS's).
Vir 'n whitebox hersiening, kyk dat daar nie verskeie "Wagtende gebruikersaksie" en "Wagwoord herstel" is nie.
Hier vind jy al die geskepte groepe in Okta. Dit is interessant om die verskillende groepe (stel van toestemmings) te verstaan wat aan gebruikers toegeken kan word. Dit is moontlik om die mense ingesluit in groepe en apps toegeken aan elke groep te sien.
Natuurlik is enige groep met die naam admin interessant, veral die groep Global Administrators, kyk na die lede om te leer wie die mees bevoorregte lede is.
Van 'n whitebox hersiening, daar moet nie meer as 5 globale admins wees (beter as daar net 2 of 3 is).
Vind hier 'n lys van al die toestelle van al die gebruikers. Jy kan ook sien of dit aktief bestuur word of nie.
Hier is dit moontlik om te observeer hoe sleutel-inligting soos voorname, vanne, e-posse, gebruikersname... tussen Okta en ander toepassings gedeel word. Dit is interessant omdat as 'n gebruiker 'n veld in Okta kan wysig (soos sy naam of e-pos) wat dan deur 'n eksterne toepassing gebruik word om die gebruiker te identifiseer, 'n insider kan probeer om ander rekeninge oor te neem.
Boonop, in die profiel User (default) van Okta kan jy sien watter velde elke gebruiker het en watter een skryfbaar is deur gebruikers. As jy nie die admin paneel kan sien nie, gaan net na opdateer jou profiel inligting en jy sal sien watter velde jy kan opdateer (let daarop dat jy 'n e-pos adres moet verifieer om dit op te dateer).
Gidsen laat jou toe om mense van bestaande bronne te importeer. Ek raai dat jy hier die gebruikers sal sien wat van ander gidse geïmporteer is.
Ek het dit nie gesien nie, maar ek raai dit is interessant om uit te vind ander gidse wat Okta gebruik om gebruikers te importeer sodat as jy daardie gids kompromitteer kan jy sekere attribuutwaardes in die gebruikers geskep in Okta stel en miskien die Okta omgewing kompromitteer.
'n Profielbron is 'n toepassing wat as 'n bron van waarheid vir gebruikersprofielattribuut dien. 'n Gebruiker kan slegs deur 'n enkele toepassing of gids op 'n slag verkry word.
Ek het dit nie gesien nie, so enige inligting oor sekuriteit en hacking rakende hierdie opsie word waardeer.
Kyk in die Domeine oortjie van hierdie afdeling die e-pos adresse wat gebruik word om e-posse te stuur en die persoonlike domein binne Okta van die maatskappy (wat jy waarskynlik al weet).
Boonop, in die Instelling oortjie, as jy admin is, kan jy "Gebruik 'n persoonlike aftekenblad" en 'n persoonlike URL stel.
Niks interessant hier nie.
Jy kan hier toepassings vind wat geconfigureer is, maar ons sal die besonderhede van daardie later in 'n ander afdeling sien.
Interessante instelling, maar niks super interessant van 'n sekuriteitsoogpunt nie.
Hier kan jy al die geconfigureerde toepassings en hul besonderhede vind: Wie toegang het tot hulle, hoe dit geconfigureer is (SAML, OPenID), URL om aan te meld, die mappings tussen Okta en die toepassing...
In die Sign On oortjie is daar ook 'n veld genaamd Password reveal wat 'n gebruiker sou toelaat om sy wagwoord te onthul wanneer hy die toepassingsinstellings nagaan. Om die instellings van 'n toepassing van die Gebruiker Paneel te kontroleer, klik op die 3 punte:
En jy kan 'n paar meer besonderhede oor die app sien (soos die wagwoord onthul funksie, as dit geaktiveer is):
Gebruik Toegang Sertifikasies om ouditveldtogte te skep om jou gebruikers se toegang tot hulpbronne periodiek te hersien en toegang outomaties goed te keur of te herroep wanneer nodig.
Ek het dit nie gesien nie, maar ek raai dat dit van 'n defensiewe perspektief 'n mooi kenmerk is.
Sekuriteits kennisgewing e-posse: Alles moet geaktiveer wees.
CAPTCHA integrasie: Dit word aanbeveel om ten minste die onsigbare reCaptcha in te stel.
Organisasie Sekuriteit: Alles kan geaktiveer word en aktivering e-posse moet nie lank neem nie (7 dae is reg).
Gebruiker enumerasie voorkoming: Albei moet geaktiveer wees.
Let daarop dat Gebruiker Enumerasie Voorkoming nie in werking tree as enige van die volgende toestande toegelaat word nie (sien Gebruiker bestuur vir meer inligting):
Selfdiens Registrasie
JIT vloei met e-pos verifikasie
Okta ThreatInsight instellings: Log en handhaaf sekuriteit gebaseer op bedreigingsvlak.
Hier is dit moontlik om korrek en gevaarlike geconfigureerde instellings te vind.
Hier kan jy al die autentikasie metodes vind wat 'n gebruiker kan gebruik: Wagwoord, telefoon, e-pos, kode, WebAuthn... Klik op die Wagwoord autentiseerder en jy kan die wagwoord beleid sien. Kyk dat dit sterk is.
In die Registrasie oortjie kan jy sien hoe diegene wat vereis of opsioneel is:
Dit is aanbeveel om Telefoon te deaktiveer. Die sterkste is waarskynlik 'n kombinasie van wagwoord, e-pos en WebAuthn.
Elke app het 'n autentikasie beleid. Die autentikasie beleid verifieer dat gebruikers wat probeer om in te teken op die app spesifieke toestande nakom, en dit handhaaf faktor vereistes gebaseer op daardie toestande.
Hier kan jy die vereistes om toegang tot elke toepassing te verkry vind. Dit word aanbeveel om ten minste wagwoord en 'n ander metode vir elke toepassing te vra. Maar as 'n aanvaller vind jy iets meer swak, kan jy dalk dit aanval.
Hier kan jy die sessiebeleide vind wat aan verskillende groepe toegeken is. Byvoorbeeld:
Dit word aanbeveel om MFA te vra, die sessie lewensduur tot 'n paar ure te beperk, nie sessie koekies oor blaaiers te persisteer nie en die ligging en Identiteitsverskaffer te beperk (as dit moontlik is). Byvoorbeeld, as elke gebruiker van 'n land moet aanmeld, kan jy net hierdie ligging toelaat.
Identiteitsverskaffers (IdPs) is dienste wat gebruikersrekeninge bestuur. Om IdPs in Okta by te voeg, stel jou eindgebruikers in staat om self te registreer met jou persoonlike toepassings deur eers met 'n sosiale rekening of 'n slimkaart te verifieer.
Op die Identiteitsverskaffers bladsy kan jy sosiale aanmeldings (IdPs) byvoeg en Okta as 'n diensverskaffer (SP) konfigureer deur inkomende SAML by te voeg. Nadat jy IdPs bygevoeg het, kan jy roeteringsreëls opstel om gebruikers na 'n IdP te lei gebaseer op konteks, soos die gebruiker se ligging, toestel, of e-pos domein.
As enige identiteitsverskaffer geconfigureer is van 'n aanvaller en verdediger se perspektief, kyk na daardie konfigurasie en as die bron regtig betroubaar is aangesien 'n aanvaller wat dit kompromitteer ook toegang tot die Okta omgewing kan kry.
Gedelegeerde autentikasie laat gebruikers toe om in te teken op Okta deur inligting vir hul organisasie se Active Directory (AD) of LDAP bediener in te voer.
Weereens, herkontroleer dit, aangesien 'n aanvaller wat 'n organisasie se AD kompromitteer, dalk in staat kan wees om na Okta te pivot deur hierdie instelling.
'n Netwerk sone is 'n konfigureerbare grens wat jy kan gebruik om toegang tot rekenaars en toestelle in jou organisasie te toeken of te beperk gebaseer op die IP adres wat toegang versoek. Jy kan 'n netwerk sone definieer deur een of meer individuele IP adresse, reekse van IP adresse, of geografiese liggings te spesifiseer.
Nadat jy een of meer netwerk zones gedefinieer het, kan jy dit in Globale Sessie Beleide, autentikasie beleide, VPN kennisgewings, en roeteringsreëls gebruik.
Van 'n aanvaller se perspektief is dit interessant om te weet watter IP's toegelaat word (en kyk of enige IP's meer bevoorreg is as ander). Van 'n aanvaller se perspektief, as die gebruikers van 'n spesifieke IP adres of streek moet toegang hê, kyk of hierdie funksie behoorlik gebruik word.
Eindpuntbestuur: Eindpuntbestuur is 'n voorwaarde wat in 'n autentikasie beleid toegepas kan word om te verseker dat bestuurde toestelle toegang tot 'n toepassing het.
Ek het dit nog nie gesien nie. TODO
Kennisgewing dienste: Ek het dit nog nie gesien nie. TODO
Jy kan Okta API tokens op hierdie bladsy skep, en diegene wat gecreëer is, hul privileges, verval tyd en Oorsprong URL's sien. Let daarop dat 'n API token gegenereer word met die toestemmings van die gebruiker wat die token geskep het en slegs geldig is as die gebruiker wat dit geskep het aktief is.
Die Betroubare Oorspronge verleen toegang tot webwerwe wat jy beheer en vertrou om toegang tot jou Okta org deur die Okta API te verkry.
Daar moet nie baie API tokens wees nie, aangesien as daar is, kan 'n aanvaller probeer om toegang tot hulle te kry en hulle te gebruik.
Automatiserings laat jou toe om geoutomatiseerde aksies te skep wat loop gebaseer op 'n stel van trigger toestande wat tydens die lewensiklus van eindgebruikers voorkom.
Byvoorbeeld, 'n toestand kan wees "Gebruiker inaktiwiteit in Okta" of "Gebruiker wagwoord vervaldatum in Okta" en die aksie kan wees "Stuur e-pos aan die gebruiker" of "Verander gebruiker se lewensiklus toestand in Okta".
Laai logs af. Hulle word gestuur na die e-pos adres van die huidige rekening.
Hier kan jy die logs van die aksies uitgevoer deur gebruikers met baie besonderhede soos aanmelding in Okta of in toepassings deur Okta vind.
Dit kan logs van die ander platforms wat met Okta toeganklik is, importeer.
Kyk na die API koers beperkings wat bereik is.
Hier kan jy generiese inligting oor die Okta omgewing vind, soos die maatskappy se naam, adres, e-pos faktuur kontak, e-pos tegniese kontak en ook wie Okta opdaterings moet ontvang en watter soort Okta opdaterings.
Hier kan jy Okta agente aflaai om Okta met ander tegnologieë te sinkroniseer.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
