Okta Hardening
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
З точки зору атакуючого це дуже цікаво, оскільки ви зможете побачити всіх зареєстрованих користувачів, їх електронні адреси, групи, до яких вони належать, профілі та навіть пристрої (мобільні разом з їх ОС).
Для огляду whitebox перевірте, щоб не було кількох "Очікує дії користувача" та "Скидання пароля".
Тут ви знайдете всі створені групи в Okta. Це цікаво, щоб зрозуміти різні групи (набір дозволів), які можуть бути надані користувачам. Можна побачити людей, включених до груп та додатки, призначені кожній групі.
Звичайно, будь-яка група з назвою admin є цікавою, особливо група Глобальні адміністратори, перевірте членів, щоб дізнатися, хто є найбільш привілейованими членами.
З точки зору огляду whitebox, не повинно бути більше 5 глобальних адміністраторів (краще, якщо їх буде лише 2 або 3).
Знайдіть тут список усіх пристроїв усіх користувачів. Ви також можете побачити, чи він активно керується чи ні.
Тут можна спостерігати, як ключова інформація, така як імена, прізвища, електронні адреси, імена користувачів... обмінюється між Okta та іншими додатками. Це цікаво, оскільки, якщо користувач може модифікувати в Okta поле (таке як його ім'я або електронна адреса), яке потім використовується зовнішнім додатком для ідентифікації користувача, зловмисник може спробувати взяти під контроль інші облікові записи.
Більше того, у профілі User (default)
з Okta ви можете побачити які поля має кожен користувач і які з них є доступними для запису користувачами. Якщо ви не можете побачити панель адміністратора, просто перейдіть до оновлення інформації про свій профіль і ви побачите, які поля ви можете оновити (зверніть увагу, що для оновлення електронної адреси вам потрібно буде її підтвердити).
Довідники дозволяють імпортувати людей з існуючих джерел. Я думаю, тут ви побачите користувачів, імпортованих з інших довідників.
Я цього не бачив, але вважаю, що це цікаво, щоб дізнатися інші довідники, які Okta використовує для імпорту користувачів, тому якщо ви компрометуєте цей довідник, ви могли б встановити деякі значення атрибутів у користувачів, створених в Okta, і можливо, скомпрометувати середовище Okta.
Джерело профілю - це додаток, який діє як джерело правди для атрибутів профілю користувача. Користувач може бути джерелом лише з одного додатка або довідника одночасно.
Я цього не бачив, тому будь-яка інформація про безпеку та хакерство щодо цієї опції буде вдячно прийнята.
Перевірте на вкладці Domains цього розділу електронні адреси, які використовуються для надсилання електронних листів, та власний домен всередині Okta компанії (який ви, напевно, вже знаєте).
Більше того, на вкладці Setting, якщо ви адміністратор, ви можете "Використовувати власну сторінку виходу" і встановити власне URL.
Тут нічого цікавого.
Тут ви можете знайти налаштовані додатки, але ми побачимо деталі цих пізніше в іншому розділі.
Цікава настройка, але нічого надто цікавого з точки зору безпеки.
Тут ви можете знайти всі налаштовані додатки та їх деталі: Хто має доступ до них, як вони налаштовані (SAML, OpenID), URL для входу, відображення між Okta та додатком...
На вкладці Sign On
також є поле під назвою Password reveal
, яке дозволяє користувачу показати свій пароль при перевірці налаштувань додатка. Щоб перевірити налаштування додатка з панелі користувача, натисніть на 3 крапки:
І ви зможете побачити деякі деталі про додаток (наприклад, функцію показу пароля, якщо вона увімкнена):
Використовуйте сертифікації доступу, щоб створити аудиторські кампанії для періодичного перегляду доступу ваших користувачів до ресурсів та автоматичного затвердження або відкликання доступу, коли це необхідно.
Я цього не бачив, але вважаю, що з точки зору захисту це гарна функція.
Електронні листи про сповіщення безпеки: Усі повинні бути увімкнені.
Інтеграція CAPTCHA: Рекомендується встановити принаймні невидимий reCaptcha
Безпека організації: Усе може бути увімкнено, а електронні листи про активацію не повинні затримуватися довго (7 днів - це нормально)
Запобігання перерахуванню користувачів: Обидва повинні бути увімкнені
Зверніть увагу, що запобігання перерахуванню користувачів не діє, якщо дозволено будь-яку з наступних умов (Див. Управління користувачами для отримання додаткової інформації):
Самостійна реєстрація
JIT потоки з електронною аутентифікацією
Налаштування Okta ThreatInsight: Логування та забезпечення безпеки на основі рівня загрози
Тут можна знайти правильно та небезпечні налаштовані налаштування.
Тут ви можете знайти всі методи аутентифікації, які може використовувати користувач: Пароль, телефон, електронна пошта, код, WebAuthn... Натискаючи на аутентифікатор пароля, ви можете побачити політику паролів. Перевірте, щоб вона була сильною.
На вкладці Enrollment ви можете побачити, які з них є обов'язковими або необов'язковими:
Рекомендується вимкнути телефон. Найсильнішими, ймовірно, є комбінація пароля, електронної пошти та WebAuthn.
Кожен додаток має політику аутентифікації. Політика аутентифікації перевіряє, що користувачі, які намагаються увійти в додаток, відповідають певним умовам, і вона забезпечує вимоги до факторів на основі цих умов.
Тут ви можете знайти вимоги для доступу до кожного додатку. Рекомендується вимагати принаймні пароль та інший метод для кожного додатку. Але якщо ви, як атакуючий, знайдете щось більш слабке, ви можете спробувати атакувати його.
Тут ви можете знайти політики сесій, призначені різним групам. Наприклад:
Рекомендується вимагати MFA, обмежити тривалість сесії на кілька годин, не зберігати куки сесії через розширення браузера та обмежити місцезнаходження та постачальника ідентичності (якщо це можливо). Наприклад, якщо кожен користувач повинен входити з певної країни, ви могли б дозволити лише це місцезнаходження.
Постачальники ідентичності (IdP) - це служби, які керують обліковими записами користувачів. Додавання IdP в Okta дозволяє вашим кінцевим користувачам самостійно реєструватися з вашими власними додатками, спочатку аутентифікуючись за допомогою соціального облікового запису або смарт-карти.
На сторінці постачальників ідентичності ви можете додати соціальні входи (IdP) та налаштувати Okta як постачальника послуг (SP), додавши вхідний SAML. Після того, як ви додали IdP, ви можете налаштувати правила маршрутизації, щоб направляти користувачів до IdP на основі контексту, такого як місцезнаходження користувача, пристрій або домен електронної пошти.
Якщо будь-який постачальник ідентичності налаштований з точки зору атакуючого та захисника, перевірте цю конфігурацію та чи є джерело дійсно надійним, оскільки атакуючий, що компрометує його, також може отримати доступ до середовища Okta.
Делегована аутентифікація дозволяє користувачам входити в Okta, вводячи облікові дані для Active Directory (AD) або LDAP сервера своєї організації.
Знову ж таки, перевірте це, оскільки атакуючий, що компрометує AD організації, може мати можливість перейти до Okta завдяки цій настройці.
Зона мережі - це налаштовувана межа, яку ви можете використовувати для надання або обмеження доступу до комп'ютерів і пристроїв у вашій організації на основі IP-адреси, яка запитує доступ. Ви можете визначити мережеву зону, вказавши одну або кілька окремих IP-адрес, діапазони IP-адрес або географічні місця.
Після того, як ви визначите одну або кілька мережевих зон, ви можете використовувати їх у глобальних політиках сесій, політиках аутентифікації, сповіщеннях VPN та правилах маршрутизації.
З точки зору атакуючого цікаво знати, які IP дозволені (і перевірити, чи є якісь IP більш привілейованими за інших). З точки зору атакуючого, якщо користувачі повинні отримувати доступ з певної IP-адреси або регіону, перевірте, чи правильно використовується ця функція.
Управління кінцевими точками: Управління кінцевими точками - це умова, яка може бути застосована в політиці аутентифікації, щоб забезпечити, що керовані пристрої мають доступ до додатка.
Я цього ще не бачив. TODO
Служби сповіщень: Я цього ще не бачив. TODO
Ви можете створити токени API Okta на цій сторінці та побачити ті, які були створені, їх привілеї, час закінчення та URL-адреси походження. Зверніть увагу, що токени API генеруються з дозволами користувача, який створив токен, і дійсні лише якщо користувач, який їх створив, є активним.
Довірені джерела надають доступ до веб-сайтів, які ви контролюєте та довіряєте для доступу до вашої організації Okta через API Okta.
Не повинно бути багато токенів API, оскільки, якщо їх багато, атакуючий може спробувати отримати до них доступ і використовувати їх.
Автоматизації дозволяють вам створювати автоматизовані дії, які виконуються на основі набору умов тригера, які виникають під час життєвого циклу кінцевих користувачів.
Наприклад, умовою може бути "Неактивність користувача в Okta" або "Закінчення терміну дії пароля користувача в Okta", а дією може бути "Надіслати електронний лист користувачу" або "Змінити стан життєвого циклу користувача в Okta".
Завантажте журнали. Вони надсилаються на електронну адресу поточного облікового запису.
Тут ви можете знайти журнали дій, виконаних користувачами з великою кількістю деталей, таких як вхід в Okta або в додатки через Okta.
Це може імпортувати журнали з інших платформ, доступних через Okta.
Перевірте досягнуті обмеження швидкості API.
Тут ви можете знайти загальну інформацію про середовище Okta, таку як назва компанії, адреса, електронна адреса для виставлення рахунків, електронна адреса технічного контакту та також хто повинен отримувати оновлення Okta і які види оновлень Okta.
Тут ви можете завантажити агенти Okta для синхронізації Okta з іншими технологіями.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)