Okta Hardening
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Iz perspektive napadača, ovo je veoma zanimljivo jer ćete moći da vidite sve registrovane korisnike, njihove email adrese, grupe kojima pripadaju, profile i čak uređaje (mobilne telefone zajedno sa njihovim operativnim sistemima).
Za pregled u beloj kutiji proverite da nema više od nekoliko "Pending user action" i "Password reset".
Ovde možete pronaći sve kreirane grupe u Okta. Zanimljivo je razumeti različite grupe (set dozvola) koje mogu biti dodeljene korisnicima. Moguće je videti ljude uključene u grupe i aplikacije dodeljene svakoj grupi.
Naravno, svaka grupa sa imenom admin je zanimljiva, posebno grupa Global Administrators, proverite članove da saznate ko su najprivilegovaniji članovi.
Iz pregleda u beloj kutiji, ne bi trebalo da bude više od 5 globalnih admina (bolje je ako ih ima samo 2 ili 3).
Ovde pronađite listu svih uređaja svih korisnika. Takođe možete videti da li se aktivno upravljaju ili ne.
Ovde je moguće posmatrati kako se ključne informacije kao što su imena, prezimena, email adrese, korisnička imena... dele između Okta i drugih aplikacija. Ovo je zanimljivo jer ako korisnik može modifikovati u Okta polje (kao što je njegovo ime ili email) koje se zatim koristi od strane spoljne aplikacije za identifikaciju korisnika, insajder bi mogao pokušati da preuzme druge naloge.
Štaviše, u profilu User (default) iz Okta možete videti koja polja svaki korisnik ima i koja su pisiva od strane korisnika. Ako ne možete videti admin panel, jednostavno idite na ažuriranje informacija o profilu i videćete koja polja možete ažurirati (napomena: da biste ažurirali email adresu, moraćete da je verifikujete).
Direktorijumi vam omogućavaju da uvezete ljude iz postojećih izvora. Pretpostavljam da ćete ovde videti korisnike uvezene iz drugih direktorijuma.
Nisam to video, ali pretpostavljam da je zanimljivo otkriti druge direktorijume koje Okta koristi za uvoz korisnika tako da ako kompromitujete taj direktorijum mogli biste postaviti neke vrednosti atributa u korisnicima kreiranim u Okta i možda kompromitovati Okta okruženje.
Izvor profila je aplikacija koja deluje kao izvor istine za atribute korisničkog profila. Korisnik može biti izvor samo od jedne aplikacije ili direktorijuma u isto vreme.
Nisam to video, pa su sve informacije o bezbednosti i hakovanju u vezi sa ovom opcijom dobrodošle.
Proverite u Domains tabu ovog dela email adrese korišćene za slanje emailova i prilagođeni domen unutar Okta kompanije (što verovatno već znate).
Štaviše, u Setting tabu, ako ste admin, možete "Koristiti prilagođenu stranicu za odjavu" i postaviti prilagođeni URL.
Nema ništa zanimljivo ovde.
Ovde možete pronaći aplikacije koje su konfigurirane, ali ćemo videti detalje o njima kasnije u drugom odeljku.
Zanimljivo podešavanje, ali ništa super zanimljivo iz perspektive bezbednosti.
Ovde možete pronaći sve konfigurisane aplikacije i njihove detalje: Ko ima pristup njima, kako je konfigurisano (SAML, OpenID), URL za prijavu, mapiranja između Okta i aplikacije...
U Sign On tabu postoji i polje pod nazivom Password reveal koje bi omogućilo korisniku da otkrije svoju lozinku prilikom provere podešavanja aplikacije. Da biste proverili podešavanja aplikacije iz korisničkog panela, kliknite na 3 tačke:
I mogli biste videti još neke detalje o aplikaciji (kao što je funkcija otkrivanja lozinke, ako je omogućena):
Koristite Access Certifications za kreiranje revizorskih kampanja kako biste periodično pregledali pristup vaših korisnika resursima i automatski odobrili ili opozvali pristup kada je to potrebno.
Nisam to video korišćeno, ali pretpostavljam da je iz odbrambene perspektive to lepa funkcija.
Email obaveštenja o bezbednosti: Sva bi trebala biti omogućena.
CAPTCHA integracija: Preporučuje se postavljanje barem nevidljivog reCaptche
Bezbednost organizacije: Sve može biti omogućeno i aktivacione email adrese ne bi trebale dugo trajati (7 dana je u redu)
Prevencija enumeracije korisnika: Obe bi trebale biti omogućene
Imajte na umu da Prevencija enumeracije korisnika ne stupa na snagu ako su dozvoljeni bilo koji od sledećih uslova (Pogledajte User management za više informacija):
Samostalna registracija
JIT tokovi sa email autentifikacijom
Okta ThreatInsight podešavanja: Zabeležite i primenite bezbednost na osnovu nivoa pretnje
Ovde je moguće pronaći ispravno i opasno konfigurisane postavke.
Ovde možete pronaći sve metode autentifikacije koje korisnik može koristiti: Lozinka, telefon, email, kod, WebAuthn... Klikom na autentifikator lozinke možete videti politiku lozinke. Proverite da li je jaka.
U Enrollment tabu možete videti kako su one koje su obavezne ili opcione:
Preporučuje se onemogućavanje telefona. Najjače su verovatno kombinacija lozinke, emaila i WebAuthn.
Svaka aplikacija ima politiku autentifikacije. Politika autentifikacije proverava da li korisnici koji pokušavaju da se prijave u aplikaciju ispunjavaju određene uslove, i primenjuje zahteve faktora na osnovu tih uslova.
Ovde možete pronaći zahteve za pristup svakoj aplikaciji. Preporučuje se da se zahteva barem lozinka i još jedna metoda za svaku aplikaciju. Ali ako kao napadač pronađete nešto slabije, možda ćete moći da napadnete to.
Ovde možete pronaći politike sesije dodeljene različitim grupama. Na primer:
Preporučuje se da se zahteva MFA, ograniči trajanje sesije na nekoliko sati, ne čuvaju kolačići sesije preko ekstenzija pretraživača i ograniči lokacija i provajder identiteta (ako je to moguće). Na primer, ako svaki korisnik treba da se prijavi iz određene zemlje, mogli biste dozvoliti samo tu lokaciju.
Provajderi identiteta (IdP) su usluge koje upravljaju korisničkim nalozima. Dodavanje IdP-a u Okta omogućava vašim krajnjim korisnicima da se samo-registruju sa vašim prilagođenim aplikacijama prvo autentifikovanjem sa društvenim nalogom ili pametnom karticom.
Na stranici Provajderi identiteta, možete dodati društvene prijave (IdP) i konfigurisati Okta kao provajdera usluga (SP) dodavanjem ulaznog SAML-a. Nakon što dodate IdP, možete postaviti pravila usmeravanja da usmerite korisnike ka IdP-u na osnovu konteksta, kao što su lokacija korisnika, uređaj ili email domena.
Ako je bilo koji provajder identiteta konfiguran iz perspektive napadača i branioca proverite tu konfiguraciju i da li je izvor zaista pouzdan jer bi napadač koji ga kompromituje mogao takođe dobiti pristup Okta okruženju.
Delegirana autentifikacija omogućava korisnicima da se prijave u Okta unosom kredencijala za Active Directory (AD) ili LDAP server njihove organizacije.
Ponovo, proverite ovo, jer bi napadač koji kompromituje AD organizacije mogao biti u mogućnosti da pređe na Okta zahvaljujući ovoj postavci.
Mrežna zona je konfigurisiva granica koju možete koristiti da dodelite ili ograničite pristup računarima i uređajima u vašoj organizaciji na osnovu IP adrese koja traži pristup. Možete definisati mrežnu zonu tako što ćete odrediti jednu ili više pojedinačnih IP adresa, opsega IP adresa ili geografskih lokacija.
Nakon što definišete jednu ili više mrežnih zona, možete koristiti ih u Global Session Policies, politike autentifikacije, VPN obaveštenja i pravila usmeravanja.
Iz perspektive napadača zanimljivo je znati koje IP adrese su dozvoljene (i proveriti da li su neke IP adrese privilegovanije od drugih). Iz perspektive napadača, ako korisnici treba da pristupaju iz određene IP adrese ili regiona, proverite da li se ova funkcija pravilno koristi.
Endpoint Management: Upravljanje krajnjim tačkama je uslov koji se može primeniti u politici autentifikacije kako bi se osiguralo da upravljani uređaji imaju pristup aplikaciji.
Nisam to još video. TODO
Notification services: Nisam to još video. TODO
Možete kreirati Okta API tokene na ovoj stranici, i videti one koji su kreirani, njihove privilegije, vreme isteka i Izvorne URL adrese. Imajte na umu da se API tokeni generišu sa dozvolama korisnika koji je kreirao token i važe samo ako je korisnik koji ih je kreirao aktivan.
Trusted Origins omogućavaju pristup veb sajtovima koje kontrolišete i kojima verujete da pristupaju vašem Okta okruženju putem Okta API-ja.
Ne bi trebalo da bude puno API tokena, jer ako ih ima, napadač bi mogao pokušati da im pristupi i koristi ih.
Automatizacije vam omogućavaju da kreirate automatske akcije koje se pokreću na osnovu skupa uslova okidača koji se javljaju tokom životnog ciklusa krajnjih korisnika.
Na primer, uslov bi mogao biti "Neaktivnost korisnika u Okta" ili "Istek lozinke korisnika u Okta" i akcija bi mogla biti "Pošaljite email korisniku" ili "Promenite stanje životnog ciklusa korisnika u Okta".
Preuzmite logove. Oni se šalju na email adresu trenutnog naloga.
Ovde možete pronaći logove akcija koje su izvršili korisnici sa mnogo detalja kao što su prijava u Okta ili u aplikacije putem Okta.
Ovo može uvoziti logove iz drugih platformi kojima se pristupa putem Okta.
Proverite dostignute API limite.
Ovde možete pronaći opšte informacije o Okta okruženju, kao što su ime kompanije, adresa, email kontakt za fakturiranje, email kontakt za tehničku podršku i takođe ko bi trebao da prima Okta ažuriranja i koje vrste Okta ažuriranja.
Ovde možete preuzeti Okta agente za sinhronizaciju Okta sa drugim tehnologijama.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
