Okta Hardening
Last updated
Last updated
Learn & practice AWS Hacking: Learn & practice GCP Hacking:
Από την οπτική γωνία ενός επιτιθέμενου, αυτό είναι πολύ ενδιαφέρον καθώς θα μπορείτε να δείτε όλους τους εγγεγραμμένους χρήστες, τις διευθύνσεις email τους, τις ομάδες στις οποίες ανήκουν, προφίλ και ακόμη και συσκευές (κινητά μαζί με τα λειτουργικά τους συστήματα).
Για μια ανασκόπηση whitebox ελέγξτε ότι δεν υπάρχουν πολλές "Εκκρεμείς ενέργειες χρήστη" και "Επαναφορά κωδικού πρόσβασης".
Εδώ θα βρείτε όλες τις δημιουργημένες ομάδες στο Okta. Είναι ενδιαφέρον να κατανοήσετε τις διαφορετικές ομάδες (σύνολο δικαιωμάτων) που θα μπορούσαν να παραχωρηθούν σε χρήστες. Είναι δυνατή η προβολή των ατόμων που περιλαμβάνονται σε ομάδες και των εφαρμογών που έχουν ανατεθεί σε κάθε ομάδα.
Φυσικά, οποιαδήποτε ομάδα με το όνομα admin είναι ενδιαφέρουσα, ειδικά η ομάδα Παγκόσμιοι Διαχειριστές, ελέγξτε τα μέλη για να μάθετε ποιοι είναι οι πιο προνομιούχοι.
Από μια ανασκόπηση whitebox, δεν θα πρέπει να υπάρχουν περισσότερα από 5 παγκόσμιοι διαχειριστές (καλύτερα αν υπάρχουν μόνο 2 ή 3).
Βρείτε εδώ μια λίστα με όλες τις συσκευές όλων των χρηστών. Μπορείτε επίσης να δείτε αν διαχειρίζεται ενεργά ή όχι.
Εδώ είναι δυνατό να παρατηρήσετε πώς οι βασικές πληροφορίες όπως τα ονόματα, τα επώνυμα, οι διευθύνσεις email, τα ονόματα χρηστών... μοιράζονται μεταξύ του Okta και άλλων εφαρμογών. Αυτό είναι ενδιαφέρον γιατί αν ένας χρήστης μπορεί να τροποποιήσει στο Okta ένα πεδίο (όπως το όνομά του ή το email του) που στη συνέχεια χρησιμοποιείται από μια εξωτερική εφαρμογή για να ταυτοποιήσει τον χρήστη, ένας εσωτερικός χρήστης θα μπορούσε να προσπαθήσει να αναλάβει άλλους λογαριασμούς.
Επιπλέον, στο προφίλ User (default) από το Okta μπορείτε να δείτε ποια πεδία έχει κάθε χρήστης και ποια είναι γραπτά από τους χρήστες. Αν δεν μπορείτε να δείτε τον πίνακα διαχείρισης, απλώς μεταβείτε για να ενημερώσετε τις πληροφορίες του προφίλ σας και θα δείτε ποια πεδία μπορείτε να ενημερώσετε (σημειώστε ότι για να ενημερώσετε μια διεύθυνση email θα χρειαστεί να την επιβεβαιώσετε).
Οι καταλόγοι σας επιτρέπουν να εισάγετε άτομα από υπάρχουσες πηγές. Υποθέτω ότι εδώ θα δείτε τους χρήστες που εισάγονται από άλλους καταλόγους.
Δεν το έχω δει, αλλά υποθέτω ότι αυτό είναι ενδιαφέρον για να ανακαλύψετε άλλους καταλόγους που χρησιμοποιεί το Okta για να εισάγει χρήστες ώστε αν συμβιβάσετε αυτόν τον κατάλογο να μπορείτε να ορίσετε κάποιες τιμές χαρακτηριστικών στους χρήστες που δημιουργούνται στο Okta και ίσως να συμβιβάσετε το περιβάλλον του Okta.
Μια πηγή προφίλ είναι μια εφαρμογή που λειτουργεί ως πηγή αλήθειας για τα χαρακτηριστικά του προφίλ χρήστη. Ένας χρήστης μπορεί να προέρχεται μόνο από μία εφαρμογή ή κατάλογο τη φορά.
Δεν το έχω δει, οπότε οποιαδήποτε πληροφορία σχετικά με την ασφάλεια και την πειρατεία σχετικά με αυτή την επιλογή είναι ευπρόσδεκτη.
Ελέγξτε στην καρτέλα Domains αυτής της ενότητας τις διευθύνσεις email που χρησιμοποιούνται για την αποστολή email και το προσαρμοσμένο domain μέσα στο Okta της εταιρείας (το οποίο πιθανώς ήδη γνωρίζετε).
Επιπλέον, στην καρτέλα Setting, αν είστε διαχειριστής, μπορείτε να "Χρησιμοποιήσετε μια προσαρμοσμένη σελίδα αποσύνδεσης" και να ορίσετε μια προσαρμοσμένη διεύθυνση URL.
Τίποτα ενδιαφέρον εδώ.
Μπορείτε να βρείτε εδώ τις εφαρμογές που έχουν ρυθμιστεί, αλλά θα δούμε τις λεπτομέρειες αυτών αργότερα σε μια διαφορετική ενότητα.
Ενδιαφέρουσα ρύθμιση, αλλά τίποτα εξαιρετικά ενδιαφέρον από άποψη ασφάλειας.
Εδώ μπορείτε να βρείτε όλες τις ρυθμισμένες εφαρμογές και τις λεπτομέρειές τους: Ποιος έχει πρόσβαση σε αυτές, πώς είναι ρυθμισμένες (SAML, OpenID), URL για σύνδεση, οι αντιστοιχίσεις μεταξύ του Okta και της εφαρμογής...
Στην καρτέλα Sign On υπάρχει επίσης ένα πεδίο που ονομάζεται Password reveal που θα επιτρέπει σε έναν χρήστη να αποκαλύψει τον κωδικό πρόσβασής του όταν ελέγχει τις ρυθμίσεις της εφαρμογής. Για να ελέγξετε τις ρυθμίσεις μιας εφαρμογής από τον Πίνακα Χρηστών, κάντε κλικ στις 3 τελείες:
Και θα μπορούσατε να δείτε μερικές περισσότερες λεπτομέρειες σχετικά με την εφαρμογή (όπως τη δυνατότητα αποκάλυψης κωδικού πρόσβασης, αν είναι ενεργοποιημένη):
Χρησιμοποιήστε τις Πιστοποιήσεις Πρόσβασης για να δημιουργήσετε εκστρατείες ελέγχου για να αναθεωρήσετε την πρόσβαση των χρηστών σας σε πόρους περιοδικά και να εγκρίνετε ή να ανακαλέσετε την πρόσβαση αυτόματα όταν απαιτείται.
Δεν το έχω δει να χρησιμοποιείται, αλλά υποθέτω ότι από αμυντική άποψη είναι μια ωραία δυνατότητα.
Emails ειδοποίησης ασφαλείας: Όλα θα πρέπει να είναι ενεργοποιημένα.
Ενσωμάτωση CAPTCHA: Συνιστάται να ρυθμίσετε τουλάχιστον το αόρατο reCaptcha
Ασφάλεια Οργάνωσης: Όλα μπορούν να ενεργοποιηθούν και τα email ενεργοποίησης δεν θα πρέπει να διαρκούν πολύ (7 ημέρες είναι εντάξει)
Πρόληψη καταμέτρησης χρηστών: Και τα δύο θα πρέπει να είναι ενεργοποιημένα
Αυτοεξυπηρέτηση Εγγραφής
Ροές JIT με αυθεντικοποίηση email
Ρυθμίσεις Okta ThreatInsight: Καταγράψτε και επιβάλετε ασφάλεια με βάση το επίπεδο απειλής
Εδώ είναι δυνατό να βρείτε σωστά και επικίνδυνα ρυθμισμένα ρυθμίσεις.
Εδώ μπορείτε να βρείτε όλες τις μεθόδους αυθεντικοποίησης που θα μπορούσε να χρησιμοποιήσει ένας χρήστης: Κωδικός πρόσβασης, τηλέφωνο, email, κωδικός, WebAuthn... Κάνοντας κλικ στον αυθεντικοποιητή Κωδικού πρόσβασης μπορείτε να δείτε την πολιτική κωδικού πρόσβασης. Ελέγξτε ότι είναι ισχυρή.
Στην καρτέλα Enrollment μπορείτε να δείτε πώς είναι οι απαιτούμενες ή προαιρετικές:
Συνιστάται να απενεργοποιήσετε το τηλέφωνο. Οι πιο ισχυρές είναι πιθανώς ένας συνδυασμός κωδικού πρόσβασης, email και WebAuthn.
Κάθε εφαρμογή έχει μια πολιτική αυθεντικοποίησης. Η πολιτική αυθεντικοποίησης επαληθεύει ότι οι χρήστες που προσπαθούν να συνδεθούν στην εφαρμογή πληρούν συγκεκριμένες προϋποθέσεις και επιβάλλει απαιτήσεις παραγόντων με βάση αυτές τις προϋποθέσεις.
Εδώ μπορείτε να βρείτε τις απαιτήσεις για πρόσβαση σε κάθε εφαρμογή. Συνιστάται να ζητάτε τουλάχιστον κωδικό πρόσβασης και άλλη μέθοδο για κάθε εφαρμογή. Αλλά αν ως επιτιθέμενος βρείτε κάτι πιο αδύναμο μπορεί να είστε σε θέση να το επιτεθείτε.
Εδώ μπορείτε να βρείτε τις πολιτικές συνεδρίας που έχουν ανατεθεί σε διαφορετικές ομάδες. Για παράδειγμα:
Συνιστάται να ζητάτε MFA, να περιορίσετε τη διάρκεια της συνεδρίας σε μερικές ώρες, να μην διατηρείτε τα cookies συνεδρίας σε επεκτάσεις προγράμματος περιήγησης και να περιορίσετε την τοποθεσία και τον Παροχέα Ταυτότητας (αν αυτό είναι δυνατό). Για παράδειγμα, αν κάθε χρήστης θα πρέπει να συνδεθεί από μια χώρα, θα μπορούσατε να επιτρέψετε μόνο αυτή την τοποθεσία.
Οι Παροχείς Ταυτότητας (IdPs) είναι υπηρεσίες που διαχειρίζονται λογαριασμούς χρηστών. Η προσθήκη IdPs στο Okta επιτρέπει στους τελικούς χρήστες σας να εγγραφούν αυτοεξυπηρετούμενοι με τις προσαρμοσμένες εφαρμογές σας, πρώτα αυθεντικοποιούμενοι με έναν κοινωνικό λογαριασμό ή μια έξυπνη κάρτα.
Στη σελίδα Παροχών Ταυτότητας, μπορείτε να προσθέσετε κοινωνικές συνδέσεις (IdPs) και να ρυθμίσετε το Okta ως πάροχο υπηρεσιών (SP) προσθέτοντας εισερχόμενο SAML. Αφού προσθέσετε IdPs, μπορείτε να ρυθμίσετε κανόνες δρομολόγησης για να κατευθύνετε τους χρήστες σε έναν IdP με βάση το πλαίσιο, όπως η τοποθεσία του χρήστη, η συσκευή ή το domain email.
Αν οποιοσδήποτε πάροχος ταυτότητας είναι ρυθμισμένος από την οπτική γωνία επιτιθέμενου και αμυντικού ελέγξτε αυτή τη ρύθμιση και αν η πηγή είναι πραγματικά αξιόπιστη καθώς ένας επιτιθέμενος που την συμβιβάσει θα μπορούσε επίσης να αποκτήσει πρόσβαση στο περιβάλλον του Okta.
Η εξουσιοδότηση μέσω αντιπροσώπου επιτρέπει στους χρήστες να συνδέονται στο Okta εισάγοντας διαπιστευτήρια για τον Active Directory (AD) ή LDAP server της οργάνωσής τους.
Και πάλι, ελέγξτε αυτό, καθώς ένας επιτιθέμενος που συμβιβάσει τον AD μιας οργάνωσης θα μπορούσε να είναι σε θέση να μεταπηδήσει στο Okta χάρη σε αυτή τη ρύθμιση.
Μια ζώνη δικτύου είναι ένα ρυθμιζόμενο όριο που μπορείτε να χρησιμοποιήσετε για να παρέχετε ή να περιορίσετε την πρόσβαση σε υπολογιστές και συσκευές στην οργάνωσή σας με βάση τη διεύθυνση IP που ζητά πρόσβαση. Μπορείτε να ορίσετε μια ζώνη δικτύου καθορίζοντας μία ή περισσότερες μεμονωμένες διευθύνσεις IP, εύρη διευθύνσεων IP ή γεωγραφικές τοποθεσίες.
Αφού ορίσετε μία ή περισσότερες ζώνες δικτύου, μπορείτε να τις χρησιμοποιήσετε σε Πολιτικές Παγκόσμιας Συνεδρίας, πολιτικές αυθεντικοποίησης, ειδοποιήσεις VPN και κανόνες δρομολόγησης.
Από την οπτική γωνία ενός επιτιθέμενου είναι ενδιαφέρον να γνωρίζετε ποιες IPs επιτρέπονται (και να ελέγξετε αν οποιεσδήποτε IPs είναι πιο προνομιούχες από άλλες). Από την οπτική γωνία ενός επιτιθέμενου, αν οι χρήστες θα πρέπει να έχουν πρόσβαση από μια συγκεκριμένη διεύθυνση IP ή περιοχή ελέγξτε ότι αυτή η δυνατότητα χρησιμοποιείται σωστά.
Διαχείριση Τερματικών: Η διαχείριση τερματικών είναι μια προϋπόθεση που μπορεί να εφαρμοστεί σε μια πολιτική αυθεντικοποίησης για να διασφαλιστεί ότι οι διαχειριζόμενες συσκευές έχουν πρόσβαση σε μια εφαρμογή.
Δεν το έχω δει να χρησιμοποιείται ακόμα. TODO
Υπηρεσίες ειδοποίησης: Δεν το έχω δει να χρησιμοποιείται ακόμα. TODO
Μπορείτε να δημιουργήσετε tokens API Okta σε αυτή τη σελίδα και να δείτε αυτά που έχουν δημιουργηθεί, τα δικαιώματά τους, τον χρόνο λήξης και τις διευθύνσεις προέλευσης. Σημειώστε ότι τα tokens API δημιουργούνται με τα δικαιώματα του χρήστη που δημιούργησε το token και είναι έγκυρα μόνο αν ο χρήστης που τα δημιούργησε είναι ενεργός.
Οι Εμπιστευμένες Προελεύσεις παρέχουν πρόσβαση σε ιστότοπους που ελέγχετε και εμπιστεύεστε για να αποκτήσετε πρόσβαση στην οργάνωση Okta μέσω του API Okta.
Δεν θα πρέπει να υπάρχουν πολλά tokens API, καθώς αν υπάρχουν, ένας επιτιθέμενος θα μπορούσε να προσπαθήσει να αποκτήσει πρόσβαση σε αυτά και να τα χρησιμοποιήσει.
Οι αυτοματισμοί σας επιτρέπουν να δημιουργείτε αυτοματοποιημένες ενέργειες που εκτελούνται με βάση ένα σύνολο συνθηκών ενεργοποίησης που συμβαίνουν κατά τη διάρκεια του κύκλου ζωής των τελικών χρηστών.
Για παράδειγμα, μια συνθήκη θα μπορούσε να είναι "Αδράνεια χρήστη στο Okta" ή "Λήξη κωδικού πρόσβασης χρήστη στο Okta" και η ενέργεια θα μπορούσε να είναι "Αποστολή email στον χρήστη" ή "Αλλαγή κατάστασης κύκλου ζωής χρήστη στο Okta".
Κατεβάστε τα αρχεία καταγραφής. Αποστέλλονται στη διεύθυνση email του τρέχοντος λογαριασμού.
Εδώ μπορείτε να βρείτε τα αρχεία καταγραφής των ενεργειών που εκτελούνται από τους χρήστες με πολλές λεπτομέρειες όπως η σύνδεση στο Okta ή σε εφαρμογές μέσω του Okta.
Αυτό μπορεί να εισάγει αρχεία καταγραφής από άλλες πλατφόρμες που προσπελάστηκαν με το Okta.
Ελέγξτε τα όρια ρυθμού API που επιτεύχθηκαν.
Εδώ μπορείτε να βρείτε γενικές πληροφορίες σχετικά με το περιβάλλον του Okta, όπως το όνομα της εταιρείας, τη διεύθυνση, διεύθυνση email χρέωσης, διεύθυνση email τεχνικής επαφής και επίσης ποιος θα πρέπει να λαμβάνει ενημερώσεις Okta και ποιο είδος ενημερώσεων Okta.
Εδώ μπορείτε να κατεβάσετε τους πράκτορες Okta για να συγχρονίσετε το Okta με άλλες τεχνολογίες.
Σημειώστε ότι η Πρόληψη Καταμέτρησης Χρηστών δεν ισχύει αν επιτρέπεται οποιαδήποτε από τις παρακάτω συνθήκες (Δείτε για περισσότερες πληροφορίες):
Learn & practice AWS Hacking: Learn & practice GCP Hacking:
Check the !
Join the 💬 or the or follow us on Twitter 🐦 .
Share hacking tricks by submitting PRs to the and github repos.
