Okta Hardening

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahramana kadar AWS hackleme öğrenin!

HackTricks'ı desteklemenin diğer yolları:

Dizin

Kişiler

Saldırgan bakış açısından, burada kayıtlı tüm kullanıcıları, e-posta adreslerini, grupları, profilleri ve hatta cihazları (mobil cihazlar ve işletim sistemleriyle birlikte) görebileceksiniz.

Beyaz kutu incelemesi için "Bekleyen kullanıcı işlemi" ve "Şifre sıfırlama" olmamasına dikkat edin.

Gruplar

Okta'da oluşturulan tüm grupları burada bulabilirsiniz. Kullanıcılara verilebilecek izinlerin (bir kullanıcı grubuna atanabilecek izinlerin) farklı grupları anlamak ilginç olabilir. Grupların içindeki kişileri ve her gruba atanmış uygulamaları görebilirsiniz.

Tabii ki, admin adında bir grup ilginçtir, özellikle Global Yöneticiler grubu, en ayrıcalıklı üyeleri öğrenmek için üyeleri kontrol edin.

Beyaz kutu incelemesinden, 5'ten fazla global yönetici olmamalıdır (2 veya 3 olması daha iyidir).

Cihazlar

Burada tüm kullanıcıların cihazlarının bir listesini bulabilirsiniz. Ayrıca, cihazın etkin olarak yönetilip yönetilmediğini de görebilirsiniz.

Profil Düzenleyici

Burada, ilk adlar, soyadlar, e-postalar, kullanıcı adları gibi önemli bilgilerin Okta ve diğer uygulamalar arasında nasıl paylaşıldığını gözlemlemek mümkündür. Bu, bir kullanıcının Okta'da bir alanı (adı veya e-postası gibi) değiştirebileceği ve ardından bir harici uygulamanın kullanıcıyı tanımlamak için kullandığı bir alana (başka hesapları ele geçirmek için bir içeriden denenebilir) sahip olabileceği anlamına gelir.

Ayrıca, Okta'daki profil Kullanıcı (varsayılan)'da her kullanıcının hangi alanlara sahip olduğunu ve hangi alanların kullanıcılar tarafından değiştirilebilir olduğunu görebilirsiniz. Yönetici panelini göremiyorsanız, profil bilgilerinizi güncellemeye gidin ve hangi alanları güncelleyebileceğinizi göreceksiniz (bir e-posta adresini güncellemek için doğrulama yapmanız gerektiğini unutmayın).

Dizin Entegrasyonları

Dizinler, mevcut kaynaklardan insanları içe aktarmanıza olanak tanır. Sanırım burada, diğer dizinlerden Okta'ya aktarılan kullanıcıları göreceksiniz.

Görmedim, ama sanırım bu, Okta'nın kullanıcıları içe aktarmak için kullandığı diğer dizinleri bulmak için ilginç olabilir, böylece o dizini ele geçirirseniz, Okta'da oluşturulan kullanıcılara bazı öznitelik değerleri atayabilir ve belki de Okta ortamını ele geçirebilirsiniz.

Profil Kaynakları

Bir profil kaynağı, kullanıcı profil öznitelikleri için doğru kaynak olarak hareket eden bir uygulamadır. Bir kullanıcı yalnızca bir uygulama veya dizin tarafından kaynak olarak alınabilir.

Görmedim, bu yüzden bu seçenekle ilgili güvenlik ve hackleme hakkında herhangi bir bilgi takdir edilir.

Özelleştirmeler

Markalar

Bu bölümün Alanlar sekmesinde, e-posta göndermek için kullanılan e-posta adreslerini ve şirketin Okta içindeki özel alan adını (muhtemelen zaten biliyorsunuz) bulabilirsiniz.

Ayrıca, Ayarlar sekmesinde, yöneticiyseniz, "Özel oturumu kapatma sayfası kullan" seçeneğini etkinleştirebilir ve özel bir URL belirleyebilirsiniz.

SMS

Burada ilginç bir şey yok.

Son Kullanıcı Kontrol Paneli

Burada yapılandırılmış uygulamaları bulabilirsiniz, ancak ayrıntıları daha sonra farklı bir bölümde göreceğiz.

Diğer

İlginç bir ayar, ancak güvenlik açısından süper ilginç bir şey yok.

Uygulamalar

Uygulamalar

Burada yapılandırılmış uygulamaların tümünü ve ayrıntılarını bulabilirsiniz: Kimin erişimi olduğu, nasıl yapılandırıldığı (SAML, OPenID), giriş için URL, Okta ve uygulama arasındaki eşleştirmeler...

Oturum Açma sekmesinde, uygulama ayarlarını kontrol ederken bir kullanıcının şifresini ortaya çıkarabilmesine izin verecek bir Şifre açığa çıkar alanı da bulunur. Kullanıcı Panelinden bir uygulamanın ayarlarını kontrol etmek için 3 noktaya tıklayın:

Ve uygulama hakkında daha fazla ayrıntı görebilirsiniz (şifre açığa çıkar özelliği gibi, etkinse):

Kimlik Yönetimi

Erişim Sertifikaları

Erişim Sertifikalarını kullanarak kullanıcılarınızın kaynaklara erişimini düzenli olarak gözden geçirip gerektiğinde otomatik olarak erişimi onaylayabilir veya iptal edebilirsiniz.

Kullanılmadığını gördüm, ancak savunma açısından güzel bir özellik olduğunu düşünüyorum.

Güvenlik

Genel

  • Güvenlik bildirim e-postaları: Tümü etkin olmalı.

  • CAPTCHA entegrasyonu: En azından görünmez reCaptcha'nın ayarlanması önerilir.

  • Kuruluş Güvenliği: Her şey etkinleştirilebilir ve etkinleştirme e-postalarının uzun sürmemesi gerekmektedir (7 gün uygun).

  • Kullanıcı numaralandırma önleme: Her ikisi de etkinleştirilmelidir.

  • Kullanıcı Numaralandırma Önleme, aşağıdaki koşullardan herhangi birine izin verilmediğinde etkili olmaz (Daha fazla bilgi için Kullanıcı yönetimi sayfasına bakın):

  • Kendi Hizmet Kaydı

  • E-posta kimlik doğrulamasıyla JIT akışları

  • Okta Tehdit İnceleme ayarları: Tehdit seviyesine dayalı olarak güvenliği kaydetme ve uygulama

HealthInsight

Burada doğru ve tehlikeli

Global Session Policy

Burada farklı gruplara atanan oturum politikalarını bulabilirsiniz. Örneğin:

MFA talep etmek, oturum süresini birkaç saatle sınırlamak, oturum çerezlerini tarayıcı uzantıları arasında saklamamak ve konumu ve Kimlik Sağlayıcıyı (bu mümkünse) sınırlamak önerilir. Örneğin, her kullanıcının belirli bir ülkeden giriş yapması gerekiyorsa, yalnızca bu konumu izin verebilirsiniz.

Kimlik Sağlayıcılar

Kimlik Sağlayıcıları (IdP'ler), kullanıcı hesaplarını yöneten hizmetlerdir. Okta'ya IdP'ler eklemek, son kullanıcıların önce bir sosyal hesap veya akıllı kartla kimlik doğrulaması yaparak özel uygulamalarınıza kendilerini kaydetmelerini sağlar.

Kimlik Sağlayıcıları sayfasında, sosyal oturum açmaları (IdP'ler) ekleyebilir ve gelen SAML ekleyerek Okta'yı bir hizmet sağlayıcı (SP) olarak yapılandırabilirsiniz. IdP'leri ekledikten sonra, kullanıcıları bir IdP'ye yönlendirmek için kullanıcı konumu, cihazı veya e-posta alanı gibi bağlam temelinde yönlendirme kuralları ayarlayabilirsiniz.

Herhangi bir kimlik sağlayıcı yapılandırıldıysa, saldırgan ve savunucu açısından bu yapılandırmayı kontrol edin ve kaynağın gerçekten güvenilir olup olmadığını kontrol edin, çünkü bir saldırgan bunu ele geçirerek Okta ortamına erişebilir.

Yetkilendirilmiş Kimlik Doğrulama

Yetkilendirilmiş kimlik doğrulama, kullanıcıların Okta'ya kuruluşlarının Active Directory (AD) veya LDAP sunucusu için kimlik bilgilerini girerek giriş yapmasına olanak tanır.

Yine, bu ayarı kontrol edin, çünkü bir saldırgan bir kuruluşun AD'sini ele geçirirse bu ayar sayesinde Okta'ya geçiş yapabilir.

Bir ağ bölgesi, IP adresinin talep ettiği erişime dayanarak kuruluşunuzdaki bilgisayarlara ve cihazlara erişimi sağlamak veya sınırlamak için kullanabileceğiniz yapılandırılabilir bir sınırdır. Bir veya daha fazla bireysel IP adresi, IP adresi aralığı veya coğrafi konum belirterek bir ağ bölgesi tanımlayabilirsiniz.

Bir veya daha fazla ağ bölgesi tanımladıktan sonra, bunları Global Oturum Politikalarında, kimlik doğrulama politikalarında, VPN bildirimlerinde ve yönlendirme kurallarında kullanabilirsiniz.

Saldırgan açısından, hangi Ps'nin izin verildiğini bilmek ilginç olabilir (ve herhangi bir IP'nin diğerlerinden daha ayrıcalıklı olup olmadığını kontrol edin). Saldırgan açısından, kullanıcıların belirli bir IP adresinden veya bölgeden erişmesi gerekiyorsa, bu özelliğin düzgün kullanıldığından emin olun.

Cihaz Entegrasyonları

  • Uç Nokta Yönetimi: Uç nokta yönetimi, bir kimlik doğrulama politikasına uygulanabilen bir koşuldur ve yönetilen cihazların bir uygulamaya erişimini sağlar.

  • Henüz bunun kullanıldığını görmedim. TODO

  • Bildirim hizmetleri: Henüz bunun kullanıldığını görmedim. TODO

API

Bu sayfada Okta API belirteçleri oluşturabilir ve oluşturulan belirteçlerin oluşturulma, ayrıcalıklar, süre ve Kaynak URL'leri gibi bilgilerini görebilirsiniz. API belirteçleri, belirteci oluşturan kullanıcının izinleriyle oluşturulur ve yalnızca belirteci oluşturan kullanıcı aktif olduğunda geçerlidir.

Güvenilir Kaynaklar, Okta API'si aracılığıyla Okta org'unuza erişim yapmak için kontrol ettiğiniz ve güvendiğiniz web sitelerine erişim sağlar.

Çok fazla API belirteci olmamalıdır, çünkü bir saldırgan bunlara erişmeye ve kullanmaya çalışabilir.

İş Akışı

Otomasyonlar

Otomasyonlar, son kullanıcıların yaşam döngüsü sırasında meydana gelen bir dizi tetikleme koşuluna dayalı olarak çalışan otomatik eylemler oluşturmanıza olanak tanır.

Örneğin, bir koşul "Okta'da Kullanıcı etkinliği" veya "Okta'da Kullanıcı şifre süresi dolması" olabilir ve eylem "Kullanıcıya e-posta gönderme" veya "Okta'da kullanıcı yaşam döngüsü durumunu değiştirme" olabilir.

Raporlar

Raporlar

Kayıtları indirin. Kayıtlar, mevcut hesabın e-posta adresine gönderilir.

Sistem Günlüğü

Burada, kullanıcıların Okta'da veya Okta üzerinden uygulamalara giriş yapma gibi birçok ayrıntılı eylemi gerçekleştirdiği kullanıcılar tarafından gerçekleştirilen eylemlerin kayıtlarını bulabilirsiniz.

İçe Aktarma İzleme

Bu, Okta ile erişilen diğer platformlardan kayıtları içe aktarabilir.

Hız Sınırları

Erişilen API hız sınırlarını kontrol edin.

Ayarlar

Hesap

Burada, Okta ortamı hakkında genel bilgileri bulabilirsiniz, şirket adı, adres, fatura iletişim e-postası, teknik iletişim e-postası ve ayrıca Okta güncellemelerini kimin alması gerektiği ve hangi tür Okta güncellemelerinin alınması gerektiği gibi.

İndirmeler

Burada, Okta ajanlarını Okta'yı diğer teknolojilerle senkronize etmek için indirebilirsiniz.

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahramana kadar AWS hacklemeyi öğrenin!

HackTricks'yi desteklemenin diğer yolları:

Last updated