Okta Hardening
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Saldırganlar açısından bu, tüm kayıtlı kullanıcıları, e-posta adreslerini, katıldıkları grupları, profilleri ve hatta cihazları (mobil cihazlar ve işletim sistemleri) görebileceğiniz için oldukça ilginçtir.
Beyaz kutu incelemesi için, "Bekleyen kullanıcı eylemi" ve "Şifre sıfırlama" olmadığından emin olun.
Burada Okta'da oluşturulan tüm grupları bulabilirsiniz. Kullanıcılara verilebilecek farklı grupları (bir dizi izin) anlamak ilginçtir. Gruplara dahil olan kişileri ve her gruba atanan uygulamaları görebilirsiniz.
Elbette, admin adını taşıyan herhangi bir grup ilginçtir, özellikle Küresel Yöneticiler grubu, en ayrıcalıklı üyelerin kimler olduğunu öğrenmek için üyeleri kontrol edin.
Beyaz kutu incelemesinden, 5'ten fazla küresel yönetici olmamalıdır (sadece 2 veya 3 olması daha iyidir).
Burada tüm kullanıcıların tüm cihazlarının listesini bulabilirsiniz. Ayrıca, bunun aktif olarak yönetilip yönetilmediğini görebilirsiniz.
Burada, adlar, soyadlar, e-postalar, kullanıcı adları gibi anahtar bilgilerin Okta ve diğer uygulamalar arasında nasıl paylaşıldığını gözlemlemek mümkündür. Bu ilginçtir çünkü bir kullanıcı Okta'da bir alanı (örneğin adı veya e-postası) değiştirebiliyorsa ve bu alan bir harici uygulama tarafından kullanıcıyı tanımlamak için kullanılıyorsa, bir içeriden biri diğer hesapları ele geçirmeye çalışabilir.
Ayrıca, Okta'daki profil Kullanıcı (varsayılan) bölümünde her kullanıcının hangi alanlara sahip olduğunu ve hangilerinin kullanıcılar tarafından yazılabilir olduğunu görebilirsiniz. Yönetici panelini göremiyorsanız, profil bilgilerinizi güncelleyin ve hangi alanları güncelleyebileceğinizi görün (bir e-posta adresini güncellemek için onu doğrulamanız gerektiğini unutmayın).
Dizinler, mevcut kaynaklardan insanları içe aktarmanıza olanak tanır. Burada diğer dizinlerden içe aktarılan kullanıcıları göreceğinizi düşünüyorum.
Bunu görmedim, ama bu, Okta'nın kullanıcıları içe aktarmak için kullandığı diğer dizinleri bulmak için ilginçtir, böylece eğer o dizini tehlikeye atarsanız, Okta'da oluşturulan kullanıcıların bazı nitelik değerlerini ayarlayabilir ve belki de Okta ortamını tehlikeye atabilirsiniz.
Bir profil kaynağı, kullanıcı profil nitelikleri için gerçek kaynak olarak işlev gören bir uygulamadır. Bir kullanıcı yalnızca bir uygulama veya dizin tarafından bir kerede kaynaklanabilir.
Bunu görmedim, bu seçenekle ilgili güvenlik ve hacking hakkında herhangi bir bilgi takdir edilmektedir.
Bu bölümdeki Alanlar sekmesinde, e-posta göndermek için kullanılan e-posta adreslerini ve şirketin Okta içindeki özel alanını kontrol edin (bunu muhtemelen zaten biliyorsunuzdur).
Ayrıca, Ayarlar sekmesinde, eğer yöneticiyseniz, "Özel bir çıkış sayfası kullanın" seçeneğini işaretleyebilir ve özel bir URL ayarlayabilirsiniz.
Burada ilginç bir şey yok.
Burada yapılandırılmış uygulamaları bulabilirsiniz, ancak bunların ayrıntılarını daha sonra farklı bir bölümde göreceğiz.
İlginç bir ayar, ancak güvenlik açısından süper ilginç bir şey yok.
Burada tüm yapılandırılmış uygulamaları ve ayrıntılarını bulabilirsiniz: Kimlerin bunlara erişimi var, nasıl yapılandırıldığı (SAML, OpenID), giriş URL'si, Okta ile uygulama arasındaki eşlemeler...
Oturum Açma sekmesinde, uygulama ayarlarını kontrol ederken bir kullanıcının şifresini açığa çıkarmasına izin veren Şifreyi göster adında bir alan da bulunmaktadır. Kullanıcı Panelinden bir uygulamanın ayarlarını kontrol etmek için 3 noktaya tıklayın:
Ve uygulama hakkında daha fazla ayrıntı görebilirsiniz (şifreyi gösterme özelliği gibi, eğer etkinse):
Erişim Sertifikalarını kullanarak, kullanıcılarınızın kaynaklara erişimini periyodik olarak gözden geçirmek ve gerektiğinde erişimi otomatik olarak onaylamak veya iptal etmek için denetim kampanyaları oluşturun.
Bunu kullandığını görmedim, ama savunma açısından güzel bir özellik olduğunu düşünüyorum.
Güvenlik bildirim e-postaları: Hepsi etkinleştirilmelidir.
CAPTCHA entegrasyonu: En azından görünmez reCaptcha ayarlamak önerilir.
Organizasyon Güvenliği: Her şey etkinleştirilebilir ve aktivasyon e-postalarının uzun sürmemesi gerekir (7 gün yeterlidir).
Kullanıcı numaralandırma önleme: Her ikisi de etkinleştirilmelidir.
Kullanıcı Numaralandırma Önleme, aşağıdaki koşullardan biri izin verilirse etkili olmaz (daha fazla bilgi için Kullanıcı yönetimi sayfasına bakın):
Kendinize hizmet kaydı
E-posta kimlik doğrulaması ile JIT akışları
Okta ThreatInsight ayarları: Tehdit seviyesine göre güvenliği kaydedin ve uygulayın.
Burada doğru ve tehlikeli yapılandırılmış ayarları bulmak mümkündür.
Burada bir kullanıcının kullanabileceği tüm kimlik doğrulama yöntemlerini bulabilirsiniz: Şifre, telefon, e-posta, kod, WebAuthn... Şifre kimlik doğrulayıcısına tıkladığınızda şifre politikası görebilirsiniz. Bunun güçlü olduğundan emin olun.
Kayıt sekmesinde, zorunlu veya isteğe bağlı olanları görebilirsiniz:
Telefonu devre dışı bırakmak önerilir. En güçlü olanlar muhtemelen şifre, e-posta ve WebAuthn kombinasyonudur.
Her uygulamanın bir kimlik doğrulama politikası vardır. Kimlik doğrulama politikası, uygulamaya giriş yapmaya çalışan kullanıcıların belirli koşulları karşıladığını doğrular ve bu koşullara dayalı olarak faktör gereksinimlerini uygular.
Burada her uygulamaya erişim için gereksinimleri bulabilirsiniz. Her uygulama için en az şifre ve başka bir yöntem talep edilmesi önerilir. Ancak bir saldırgan olarak daha zayıf bir şey bulursanız, bunu saldırmak için kullanabilirsiniz.
Burada farklı gruplara atanan oturum politikalarını bulabilirsiniz. Örneğin:
MFA talep edilmesi, oturum süresinin birkaç saatle sınırlanması, oturum çerezlerinin tarayıcı uzantıları arasında kalıcı olmaması ve konum ile Kimlik Sağlayıcısını (bu mümkünse) sınırlamak önerilir. Örneğin, her kullanıcının bir ülkeden giriş yapması gerekiyorsa, yalnızca bu konuma izin verebilirsiniz.
Kimlik Sağlayıcıları (IdP'ler), kullanıcı hesaplarını yöneten hizmetlerdir. Okta'da IdP'ler eklemek, son kullanıcılarınızın sosyal bir hesap veya akıllı kart ile kimlik doğrulaması yaparak özel uygulamalarınıza kendilerini kaydetmelerini sağlar.
Kimlik Sağlayıcıları sayfasında, sosyal girişleri (IdP'ler) ekleyebilir ve Okta'yı bir hizmet sağlayıcı (SP) olarak yapılandırmak için gelen SAML ekleyebilirsiniz. IdP'leri ekledikten sonra, kullanıcıları bir IdP'ye yönlendirmek için bağlama dayalı yönlendirme kuralları ayarlayabilirsiniz; örneğin, kullanıcının konumu, cihazı veya e-posta alanı gibi.
Herhangi bir kimlik sağlayıcı yapılandırılmışsa, saldırganlar ve savunucular açısından bu yapılandırmayı kontrol edin ve kaynağın gerçekten güvenilir olup olmadığını kontrol edin, çünkü bir saldırgan bunu tehlikeye atarak Okta ortamına da erişim elde edebilir.
Delege edilmiş kimlik doğrulama, kullanıcıların Okta'ya Active Directory (AD) veya LDAP sunucularının kimlik bilgilerini girerek giriş yapmalarını sağlar.
Yine, bunu yeniden kontrol edin, çünkü bir saldırganın bir kuruluşun AD'sini tehlikeye atması, bu ayar sayesinde Okta'ya geçiş yapabilmesine neden olabilir.
Bir ağ bölgesi, erişimi vermek veya kısıtlamak için kullanabileceğiniz yapılandırılabilir bir sınırdır. Bu, erişim talep eden bilgisayarlar ve cihazlar için IP adresine dayalıdır. Bir veya daha fazla bireysel IP adresi, IP adresi aralığı veya coğrafi konum belirterek bir ağ bölgesi tanımlayabilirsiniz.
Bir veya daha fazla ağ bölgesi tanımladıktan sonra, bunları Küresel Oturum Politikalarında, kimlik doğrulama politikalarında, VPN bildirimlerinde ve yönlendirme kurallarında kullanabilirsiniz.
Saldırganlar açısından, hangi IP'lerin izin verildiğini bilmek ilginçtir (ve herhangi bir IP'nin diğerlerinden daha ayrıcalıklı olup olmadığını kontrol etmek). Saldırganlar açısından, kullanıcıların belirli bir IP adresinden veya bölgeden erişim sağlaması gerekiyorsa, bu özelliğin düzgün bir şekilde kullanıldığını kontrol edin.
Uç Nokta Yönetimi: Uç nokta yönetimi, yönetilen cihazların bir uygulamaya erişimini sağlamak için bir kimlik doğrulama politikasında uygulanabilecek bir koşuldur.
Bunu henüz görmedim. TODO
Bildirim hizmetleri: Bunu henüz görmedim. TODO
Bu sayfada Okta API jetonları oluşturabilir ve oluşturulan jetonları, ayrıntılarını, sona erme zamanını ve Kaynak URL'lerini görebilirsiniz. API jetonları, jetonu oluşturan kullanıcının izinleriyle oluşturulur ve yalnızca oluşturan kullanıcı aktif olduğunda geçerlidir.
Güvenilir Kaynaklar, Okta API'si aracılığıyla Okta organizasyonunuza erişim sağlamak için kontrol ettiğiniz ve güvendiğiniz web sitelerine erişim izni verir.
Çok fazla API jetonu olmamalıdır, çünkü varsa bir saldırgan bunlara erişmeye ve kullanmaya çalışabilir.
Otomasyonlar, son kullanıcıların yaşam döngüsü sırasında meydana gelen bir dizi tetikleyici koşuluna dayalı olarak çalışan otomatik eylemler oluşturmanıza olanak tanır.
Örneğin, bir koşul "Okta'da kullanıcı etkinliği yok" veya "Okta'da kullanıcı şifresi süresi doldu" olabilir ve eylem "Kullanıcıya e-posta gönder" veya "Kullanıcı yaşam döngüsü durumunu Okta'da değiştir" olabilir.
Günlükleri indirin. Bunlar, mevcut hesabın e-posta adresine gönderilir.
Burada, kullanıcıların Okta'da veya Okta aracılığıyla uygulamalarda gerçekleştirdiği hareketlerin günlüklerini bulabilirsiniz.
Bu, Okta ile erişilen diğer platformlardan günlükleri içe aktarabilir.
Ulaşan API hız limitlerini kontrol edin.
Burada, şirket adı, adres, e-posta fatura iletişim bilgisi, e-posta teknik iletişim bilgisi gibi Okta ortamı hakkında genel bilgileri bulabilirsiniz ve ayrıca kimlerin Okta güncellemelerini alması gerektiğini ve hangi tür Okta güncellemeleri alacağını görebilirsiniz.
Burada, Okta'yı diğer teknolojilerle senkronize etmek için Okta ajanlarını indirebilirsiniz.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
