Okta Hardening
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kutoka kwa mtazamo wa washambuliaji, hii ni ya kuvutia sana kwani utaweza kuona watumiaji wote waliojiandikisha, anwani zao za barua pepe, makundi wanayoshiriki, profaili na hata vifaa (simu za mkononi pamoja na mifumo yao ya uendeshaji).
Kwa ukaguzi wa whitebox hakikisha kuwa hakuna "Hatua ya mtumiaji inayosubiri" na "Kurekebisha nenosiri".
Hapa ndipo unapata makundi yote yaliyoanzishwa katika Okta. Ni muhimu kuelewa makundi tofauti (seti ya idhini) ambayo yanaweza kutolewa kwa watumiaji. Inawezekana kuona watu walio ndani ya makundi na programu zilizotolewa kwa kila kundi.
Kwa kweli, kundi lolote lenye jina la admin ni la kuvutia, hasa kundi la Wasimamizi wa Kimataifa, angalia wanachama kujua ni nani wanachama wenye mamlaka zaidi.
Kutoka kwa ukaguzi wa whitebox, hakupaswi kuwa na wasimamizi zaidi ya 5 wa kimataifa (ni bora ikiwa kuna 2 au 3 tu).
Pata hapa orodha ya vifaa vyote vya watumiaji wote. Unaweza pia kuona ikiwa inasimamiwa kwa njia ya moja kwa moja au la.
Hapa inawezekana kuona jinsi taarifa muhimu kama vile majina ya kwanza, majina ya mwisho, barua pepe, majina ya mtumiaji... zinavyoshirikiwa kati ya Okta na programu nyingine. Hii ni ya kuvutia kwa sababu ikiwa mtumiaji anaweza kubadilisha katika Okta uwanja (kama jina lake au barua pepe) ambayo kisha inatumika na programu ya nje ili kutambua mtumiaji, mtu wa ndani anaweza kujaribu kuchukua akaunti nyingine.
Zaidi ya hayo, katika profaili User (default)
kutoka Okta unaweza kuona ni uwanja gani kila mtumiaji ana na ni yapi yanayoweza kubadilishwa na watumiaji. Ikiwa huwezi kuona paneli ya admin, nenda tu sasisha taarifa za profaili yako na utaona ni uwanja gani unaweza kusasisha (kumbuka kuwa ili kusasisha anwani ya barua pepe utahitaji kuithibitisha).
Maktaba zinakuwezesha kuingiza watu kutoka vyanzo vilivyopo. Nadhani hapa utaona watumiaji waliingizwa kutoka maktaba nyingine.
Sijawahi kuona, lakini nadhani hii ni ya kuvutia kugundua maktaba nyingine ambazo Okta inatumia kuingiza watumiaji ili ikiwa utavunja maktaba hiyo unaweza kuweka baadhi ya thamani za sifa katika watumiaji walioundwa katika Okta na labda uvunje mazingira ya Okta.
Chanzo cha profaili ni programu inayofanya kazi kama chanzo cha ukweli kwa sifa za profaili za mtumiaji. Mtumiaji anaweza tu kuingizwa na programu au maktaba moja kwa wakati.
Sijawahi kuona, hivyo taarifa yoyote kuhusu usalama na udukuzi kuhusu chaguo hili inathaminiwa.
Angalia katika tab ya Domains ya sehemu hii anwani za barua pepe zinazotumika kutuma barua pepe na jina la kikoa maalum ndani ya Okta la kampuni (ambalo huenda tayari unalijua).
Zaidi ya hayo, katika tab ya Setting, ikiwa wewe ni admin, unaweza "Tumia ukurasa maalum wa kutoka" na kuweka URL maalum.
Hakuna kitu cha kuvutia hapa.
Unaweza kupata hapa programu zilizowekwa, lakini tutaona maelezo ya hizo baadaye katika sehemu tofauti.
Mipangilio ya kuvutia, lakini hakuna kitu cha kuvutia sana kutoka kwa mtazamo wa usalama.
Hapa unaweza kupata programu zote zilizowekwa na maelezo yao: Nani ana ufikiaji wa hizo, jinsi ilivyowekwa (SAML, OPenID), URL ya kuingia, ramani kati ya Okta na programu...
Katika tab ya Sign On
pia kuna uwanja unaoitwa Password reveal
ambao utamruhusu mtumiaji kuonyesha nenosiri lake wakati wa kuangalia mipangilio ya programu. Ili kuangalia mipangilio ya programu kutoka kwa Paneli ya Mtumiaji, bonyeza alama 3:
Na unaweza kuona maelezo zaidi kuhusu programu (kama kipengele cha kuonyesha nenosiri, ikiwa kimewezeshwa):
Tumia Access Certifications kuunda kampeni za ukaguzi ili kupitia ufikiaji wa watumiaji wako kwa rasilimali mara kwa mara na kuidhinisha au kufuta ufikiaji kiotomatiki inapohitajika.
Sijawahi kuona ikitumika, lakini nadhani kutoka kwa mtazamo wa kujihami ni kipengele kizuri.
Barua pepe za arifa za usalama: Zote zinapaswa kuwezeshwa.
Ushirikiano wa CAPTCHA: Inapendekezwa kuweka angalau reCaptcha isiyoonekana
Usalama wa Shirika: Kila kitu kinaweza kuwezeshwa na barua pepe za uanzishaji hazipaswi kuchukua muda mrefu (siku 7 ni sawa)
Kuzuia kuhesabu watumiaji: Zote zinapaswa kuwezeshwa
Kumbuka kuwa Kuzuia Kuangalia Watumiaji hakutatumika ikiwa mojawapo ya hali zifuatazo inaruhusiwa (Tazama Usimamizi wa watumiaji kwa maelezo zaidi):
Usajili wa Huduma ya Kibinafsi
Mchakato wa JIT na uthibitisho wa barua pepe
Mipangilio ya Okta ThreatInsight: Rekodi na enforce usalama kulingana na kiwango cha tishio
Hapa inawezekana kupata mipangilio iliyowekwa vizuri na hatari.
Hapa unaweza kupata njia zote za uthibitishaji ambazo mtumiaji anaweza kutumia: Nenosiri, simu, barua pepe, msimbo, WebAuthn... Bonyeza kwenye uthibitishaji wa Nenosiri unaweza kuona sera ya nenosiri. Hakikisha kuwa ni imara.
Katika tab ya Enrollment unaweza kuona jinsi zile zinazohitajika au za hiari:
Inapendekezwa kuzima Simu. Njia zenye nguvu zaidi ni pengine mchanganyiko wa nenosiri, barua pepe na WebAuthn.
Kila programu ina sera ya uthibitishaji. Sera ya uthibitishaji inathibitisha kuwa watumiaji wanaojaribu kuingia kwenye programu wanakidhi masharti maalum, na inatekeleza mahitaji ya vipengele kulingana na masharti hayo.
Hapa unaweza kupata mahitaji ya kufikia kila programu. Inapendekezwa kutaka angalau nenosiri na njia nyingine kwa kila programu. Lakini ikiwa kama mshambuliaji unapata kitu dhaifu zaidi unaweza kuwa na uwezo wa kukishambulia.
Hapa unaweza kupata sera za kikao zilizotolewa kwa makundi tofauti. Kwa mfano:
Inapendekezwa kutaka MFA, kupunguza muda wa kikao kuwa masaa kadhaa, usihifadhi kuki za kikao kupitia nyongeza za kivinjari na kupunguza eneo na Mtoa Kitambulisho (ikiwa hii inawezekana). Kwa mfano, ikiwa kila mtumiaji anapaswa kuingia kutoka nchi fulani unaweza kuruhusu tu eneo hili.
Mtoa Kitambulisho (IdPs) ni huduma ambazo zinashughulikia akaunti za watumiaji. Kuongeza IdPs katika Okta kunawawezesha watumiaji wako wa mwisho kujiandikisha wenyewe na programu zako maalum kwa kuanza kuthibitisha na akaunti ya kijamii au kadi ya smart.
Katika ukurasa wa Mtoa Kitambulisho, unaweza kuongeza logins za kijamii (IdPs) na kuunda Okta kama mtoa huduma (SP) kwa kuongeza SAML ya ndani. Baada ya kuongeza IdPs, unaweza kuunda sheria za kuelekeza watumiaji kwa IdP kulingana na muktadha, kama vile eneo la mtumiaji, kifaa, au kikoa cha barua pepe.
Ikiwa mtoa kitambulisho yeyote amewekwa kutoka kwa mtazamo wa washambuliaji na walinzi angalia mipangilio hiyo na ikiwa chanzo ni cha kuaminika kweli kwani mshambuliaji anayevunja inaweza pia kupata ufikiaji wa mazingira ya Okta.
Uthibitishaji wa wakala unaruhusu watumiaji kuingia katika Okta kwa kuingiza taarifa za kuingia za Active Directory (AD) au LDAP ya shirika lao.
Tena, angalia hii, kwani mshambuliaji anayevunja AD ya shirika anaweza kuwa na uwezo wa kuhamasisha Okta kwa sababu ya mipangilio hii.
Eneo la mtandao ni mpaka unaoweza kubadilishwa ambao unaweza kutumia ili kutoa au kupunguza ufikiaji wa kompyuta na vifaa katika shirika lako kulingana na anwani ya IP inayotafuta ufikiaji. Unaweza kufafanua eneo la mtandao kwa kubainisha moja au zaidi ya anwani za IP za kibinafsi, anuwai za anwani za IP, au maeneo ya kijiografia.
Baada ya kufafanua eneo moja au zaidi za mtandao, unaweza kuzitumia katika Sera za Kikao za Kimataifa, sera za uthibitishaji, arifa za VPN, na sheria za kuelekeza.
Kutoka kwa mtazamo wa washambuliaji ni ya kuvutia kujua ni IP zipi zinazoruhusiwa (na kuangalia ikiwa kuna IPs zenye mamlaka zaidi kuliko nyingine). Kutoka kwa mtazamo wa washambuliaji, ikiwa watumiaji wanapaswa kufikia kutoka anwani maalum ya IP au eneo angalia kuwa kipengele hiki kinatumika ipasavyo.
Usimamizi wa Kifaa: Usimamizi wa kifaa ni hali ambayo inaweza kutumika katika sera ya uthibitishaji ili kuhakikisha kuwa vifaa vilivyodhibitiwa vina ufikiaji wa programu.
Sijawahi kuona hii ikitumika bado. TODO
Huduma za arifa: Sijawahi kuona hii ikitumika bado. TODO
Unaweza kuunda tokeni za API za Okta katika ukurasa huu, na kuona zile ambazo zime undwa, mamlaka zao, muda wa kuisha na URLs za Asili. Kumbuka kuwa tokeni za API zinaundwa kwa ruhusa za mtumiaji aliyeunda tokeni na ni halali tu ikiwa mtumiaji aliyeunda ni hai.
Asili za Kuaminika zinatoa ufikiaji kwa tovuti ambazo unadhibiti na kuamini ili kufikia shirika lako la Okta kupitia API ya Okta.
Hakupaswi kuwa na tokeni nyingi za API, kwani ikiwa zipo mshambuliaji anaweza kujaribu kuzifikia na kuzitumia.
Automations zinakuwezesha kuunda vitendo vya kiotomatiki vinavyofanyika kulingana na seti ya masharti ya kichocheo yanayotokea wakati wa mzunguko wa maisha ya watumiaji wa mwisho.
Kwa mfano, hali inaweza kuwa "Kutokuwepo kwa mtumiaji katika Okta" au "Kuisha kwa nenosiri la mtumiaji katika Okta" na kitendo kinaweza kuwa "Tuma barua pepe kwa mtumiaji" au "Badilisha hali ya maisha ya mtumiaji katika Okta".
Pakua kumbukumbu. Zinatumwa kwa anwani ya barua pepe ya akaunti ya sasa.
Hapa unaweza kupata kumbukumbu za vitendo vilivyofanywa na watumiaji kwa maelezo mengi kama kuingia katika Okta au katika programu kupitia Okta.
Hii inaweza kuingiza kumbukumbu kutoka majukwaa mengine yanayofikiwa na Okta.
Angalia mipaka ya kiwango cha API iliyofikiwa.
Hapa unaweza kupata taarifa za jumla kuhusu mazingira ya Okta, kama vile jina la kampuni, anwani, mwanachama wa bili ya barua pepe, mwanachama wa kiufundi wa barua pepe na pia ni nani anapaswa kupokea masasisho ya Okta na ni aina gani ya masasisho ya Okta.
Hapa unaweza kupakua wakala wa Okta ili kuunganisha Okta na teknolojia nyingine.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)