Okta Hardening
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kutoka kwa mtazamo wa washambuliaji, hii ni ya kuvutia sana kwani utaweza kuona watumiaji wote waliojiandikisha, anwani zao za barua pepe, makundi wanayoshiriki, profaili na hata vifaa (simu pamoja na mifumo yao ya uendeshaji).
Kwa ukaguzi wa whitebox hakikisha kuwa hakuna "Hatua ya mtumiaji inayosubiri" na "Kurekebisha nenosiri".
Hapa ndipo unapata makundi yote yaliyoanzishwa katika Okta. Ni ya kuvutia kuelewa makundi tofauti (seti ya idhini) ambayo yanaweza kutolewa kwa watumiaji. Inawezekana kuona watu walio ndani ya makundi na programu zilizotengwa kwa kila kundi.
Kwa kweli, kundi lolote lenye jina la admin ni la kuvutia, hasa kundi la Wasimamizi wa Kimataifa, angalia wanachama kujua ni nani wanachama wenye mamlaka zaidi.
Kutoka kwa ukaguzi wa whitebox, hakupaswi kuwa na wasimamizi wa kimataifa zaidi ya 5 (ni bora ikiwa kuna 2 au 3 tu).
Pata hapa orodha ya vifaa vyote vya watumiaji wote. Unaweza pia kuona ikiwa inasimamiwa kwa njia ya moja kwa moja au la.
Hapa inawezekana kuona jinsi taarifa muhimu kama vile majina ya kwanza, majina ya mwisho, barua pepe, majina ya watumiaji... zinavyoshirikiwa kati ya Okta na programu nyingine. Hii ni ya kuvutia kwa sababu ikiwa mtumiaji anaweza kubadilisha katika Okta uwanja (kama jina lake au barua pepe) ambayo kisha inatumika na programu ya nje ili kutambua mtumiaji, mtu wa ndani anaweza kujaribu kuchukua akaunti nyingine.
Zaidi ya hayo, katika profaili User (default)
kutoka Okta unaweza kuona ni uwanja gani kila mtumiaji ana na ni yupi ni unaoweza kuandikwa na watumiaji. Ikiwa huwezi kuona paneli ya admin, nenda tu sasisha taarifa za profaili yako na utaona ni uwanja gani unaweza kusasisha (kumbuka kuwa ili kusasisha anwani ya barua pepe utahitaji kuithibitisha).
Maktaba huruhusu kuagiza watu kutoka vyanzo vilivyopo. Nadhani hapa utaona watumiaji waliagizwa kutoka maktaba nyingine.
Sijawahi kuona, lakini nadhani hii ni ya kuvutia kugundua maktaba nyingine ambazo Okta inatumia kuagiza watumiaji ili ikiwa utavunja maktaba hiyo unaweza kuweka baadhi ya thamani za sifa katika watumiaji walioundwa katika Okta na labda uvunje mazingira ya Okta.
Chanzo cha profaili ni programu inayofanya kazi kama chanzo cha ukweli kwa sifa za profaili za mtumiaji. Mtumiaji anaweza tu kuagizwa na programu au maktaba moja kwa wakati.
Sijawahi kuona, hivyo taarifa yoyote kuhusu usalama na udukuzi kuhusu chaguo hili inathaminiwa.
Angalia katika tab ya Domains ya sehemu hii anwani za barua pepe zinazotumika kutuma barua pepe na jina la kikoa cha kawaida ndani ya Okta cha kampuni (ambacho huenda tayari unakijua).
Zaidi ya hayo, katika tab ya Setting, ikiwa wewe ni admin, unaweza "Tumia ukurasa wa kuondoka wa kawaida" na kuweka URL ya kawaida.
Hakuna kitu cha kuvutia hapa.
Unaweza kupata hapa programu zilizowekwa, lakini tutaona maelezo ya hizo baadaye katika sehemu tofauti.
Mipangilio ya kuvutia, lakini hakuna kitu cha kuvutia sana kutoka kwa mtazamo wa usalama.
Hapa unaweza kupata programu zote zilizowekwa na maelezo yao: Nani ana ufikiaji wa hizo, jinsi ilivyowekwa (SAML, OPenID), URL ya kuingia, ramani kati ya Okta na programu...
Katika tab ya Sign On
pia kuna uwanja unaoitwa Password reveal
ambao utamruhusu mtumiaji kuonyesha nenosiri lake wakati wa kuangalia mipangilio ya programu. Ili kuangalia mipangilio ya programu kutoka kwa Paneli ya Mtumiaji, bonyeza alama 3:
Na unaweza kuona maelezo zaidi kuhusu programu (kama kipengele cha kuonyesha nenosiri, ikiwa kimewezeshwa):
Tumia Access Certifications kuunda kampeni za ukaguzi ili kupitia ufikiaji wa watumiaji wako kwa rasilimali mara kwa mara na kuidhinisha au kufuta ufikiaji kiotomatiki inapohitajika.
Sijawahi kuona ikitumika, lakini nadhani kutoka kwa mtazamo wa kujihami ni kipengele kizuri.
Barua pepe za arifa za usalama: Zote zinapaswa kuwezeshwa.
Ushirikiano wa CAPTCHA: Inapendekezwa kuweka angalau reCaptcha isiyoonekana
Usalama wa Shirika: Kila kitu kinaweza kuwezeshwa na barua pepe za uanzishaji hazipaswi kuchukua muda mrefu (siku 7 ni sawa)
Kuzuia kuorodhesha watumiaji: Zote zinapaswa kuwezeshwa
Kumbuka kuwa Kuzuia Kuorodhesha Watumiaji hakutatumika ikiwa mojawapo ya hali zifuatazo inaruhusiwa (Tazama Usimamizi wa watumiaji kwa maelezo zaidi):
Usajili wa Huduma ya Kibinafsi
Mchakato wa JIT na uthibitisho wa barua pepe
Mipangilio ya Okta ThreatInsight: Rekodi na enforce usalama kulingana na kiwango cha tishio
Hapa inawezekana kupata mipangilio iliyowekwa vizuri na hatari.
Hapa unaweza kupata njia zote za uthibitishaji ambazo mtumiaji anaweza kutumia: Nenosiri, simu, barua pepe, msimbo, WebAuthn... Bonyeza kwenye uthibitishaji wa Nenosiri unaweza kuona sera ya nenosiri. Hakikisha kuwa ni imara.
Katika tab ya Enrollment unaweza kuona jinsi zile zinazohitajika au za hiari:
Inapendekezwa kuzima Simu. Njia zenye nguvu zaidi ni pengine mchanganyiko wa nenosiri, barua pepe na WebAuthn.
Kila programu ina sera ya uthibitishaji. Sera ya uthibitishaji inathibitisha kuwa watumiaji wanaojaribu kuingia kwenye programu wanakidhi masharti maalum, na inatekeleza mahitaji ya vipengele kulingana na masharti hayo.
Hapa unaweza kupata mahitaji ya kufikia kila programu. Inapendekezwa kutaka angalau nenosiri na njia nyingine kwa kila programu. Lakini ikiwa kama mshambuliaji unapata kitu dhaifu zaidi unaweza kuwa na uwezo wa kukishambulia.
Hapa unaweza kupata sera za kikao zilizotengwa kwa makundi tofauti. Kwa mfano:
Inapendekezwa kutaka MFA, punguza muda wa kikao kuwa masaa kadhaa, usiweke cookies za kikao kwenye nyongeza za kivinjari na punguza eneo na Mtoa Kitambulisho (ikiwa hii inawezekana). Kwa mfano, ikiwa kila mtumiaji anapaswa kuingia kutoka nchi fulani unaweza kuruhusu tu eneo hili.
Mtoa Kitambulisho (IdPs) ni huduma ambazo zinakosoa akaunti za watumiaji. Kuongeza IdPs katika Okta kunawawezesha watumiaji wako wa mwisho kujiandikisha wenyewe na programu zako za kawaida kwa kuanza kuthibitisha na akaunti ya kijamii au kadi ya smart.
Katika ukurasa wa Mtoa Kitambulisho, unaweza kuongeza logins za kijamii (IdPs) na kuunda Okta kama mtoa huduma (SP) kwa kuongeza SAML ya ndani. Baada ya kuongeza IdPs, unaweza kuunda sheria za kuelekeza watumiaji kwa IdP kulingana na muktadha, kama vile eneo la mtumiaji, kifaa, au kikoa cha barua pepe.
Ikiwa mtoa kitambulisho yeyote amewekwa kutoka kwa mtazamo wa washambuliaji na walinzi angalia mipangilio hiyo na ikiwa chanzo ni cha kuaminika kweli kwani mshambuliaji anayevunja inaweza pia kupata ufikiaji wa mazingira ya Okta.
Uthibitishaji wa wakala unaruhusu watumiaji kuingia kwenye Okta kwa kuingiza taarifa za kuingia za Active Directory (AD) au LDAP ya shirika lao.
Tena, angalia hii, kwani mshambuliaji anayevunja AD ya shirika anaweza kuwa na uwezo wa kuhamasisha Okta kutokana na mipangilio hii.
Eneo la mtandao ni mpaka unaoweza kubadilishwa ambao unaweza kutumia ili kutoa au kupunguza ufikiaji wa kompyuta na vifaa katika shirika lako kulingana na anwani ya IP inayotafuta ufikiaji. Unaweza kufafanua eneo la mtandao kwa kubainisha anwani moja au zaidi za IP, anuwai za anwani za IP, au maeneo ya kijiografia.
Baada ya kufafanua eneo moja au zaidi za mtandao, unaweza kuzitumia katika Sera za Kikao za Kimataifa, sera za uthibitishaji, arifa za VPN, na sheria za kuelekeza.
Kutoka kwa mtazamo wa washambuliaji ni ya kuvutia kujua ni IP zipi zinazoruhusiwa (na kuangalia ikiwa kuna IPs zenye mamlaka zaidi kuliko nyingine). Kutoka kwa mtazamo wa washambuliaji, ikiwa watumiaji wanapaswa kufikia kutoka anwani maalum ya IP au eneo angalia kuwa kipengele hiki kinatumika ipasavyo.
Usimamizi wa Kifaa: Usimamizi wa kifaa ni hali ambayo inaweza kutumika katika sera ya uthibitishaji ili kuhakikisha kuwa vifaa vilivyo na usimamizi vina ufikiaji wa programu.
Sijawahi kuona hii ikitumika bado. TODO
Huduma za Arifa: Sijawahi kuona hii ikitumika bado. TODO
Unaweza kuunda token za Okta API katika ukurasa huu, na kuona zile ambazo zime undwa, mamlaka zao, muda wa kuisha na URLs za Asili. Kumbuka kuwa token za API zinaundwa kwa ruhusa za mtumiaji aliyekuwa ameunda token hiyo na ni halali tu ikiwa mtumiaji aliyekuwa ameunda ni hai.
Asili Zinazoaminika zinatoa ufikiaji wa tovuti ambazo unadhibiti na kuaminiwa kufikia shirika lako la Okta kupitia API ya Okta.
Hakupaswi kuwa na token nyingi za API, kwani ikiwa zipo mshambuliaji anaweza kujaribu kuzifikia na kuzitumia.
Automations huruhusu kuunda vitendo vya kiotomatiki vinavyofanyika kulingana na seti ya masharti ya kichocheo yanayotokea wakati wa mzunguko wa maisha ya watumiaji wa mwisho.
Kwa mfano, hali inaweza kuwa "Kutokuwepo kwa mtumiaji katika Okta" au "Kuisha kwa nenosiri la mtumiaji katika Okta" na kitendo kinaweza kuwa "Tuma barua pepe kwa mtumiaji" au "Badilisha hali ya maisha ya mtumiaji katika Okta".
Pakua kumbukumbu. Zinatumwa kwa anwani ya barua pepe ya akaunti ya sasa.
Hapa unaweza kupata kumbukumbu za vitendo vilivyofanywa na watumiaji kwa maelezo mengi kama kuingia katika Okta au katika programu kupitia Okta.
Hii inaweza kuagiza kumbukumbu kutoka kwa majukwaa mengine yaliyofikiwa na Okta.
Angalia mipaka ya kiwango cha API iliyofikiwa.
Hapa unaweza kupata taarifa za jumla kuhusu mazingira ya Okta, kama vile jina la kampuni, anwani, mwasiliani wa bili ya barua pepe, mwasiliani wa kiufundi wa barua pepe na pia ni nani anapaswa kupokea masasisho ya Okta na ni aina gani ya masasisho ya Okta.
Hapa unaweza kupakua wakala wa Okta ili kuunganisha Okta na teknolojia nyingine.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)