Okta Hardening
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
З точки зору атакуючого це дуже цікаво, оскільки ви зможете побачити всіх зареєстрованих користувачів, їх електронні адреси, групи, до яких вони належать, профілі та навіть пристрої (мобільні разом з їх ОС).
Для огляду whitebox перевірте, щоб не було кількох "Очікує дії користувача" та "Скидання пароля".
Тут ви знайдете всі створені групи в Okta. Це цікаво, щоб зрозуміти різні групи (набір дозволів), які можуть бути надані користувачам. Можна побачити людей, включених до груп та додатки, призначені кожній групі.
Звичайно, будь-яка група з назвою admin є цікавою, особливо група Глобальні адміністратори, перевірте учасників, щоб дізнатися, хто є найбільш привілейованими членами.
З точки зору огляду whitebox, не повинно бути більше 5 глобальних адміністраторів (краще, якщо їх буде лише 2 або 3).
Знайдіть тут список усіх пристроїв усіх користувачів. Ви також можете побачити, чи він активно керується чи ні.
Тут можна спостерігати, як ключова інформація, така як імена, прізвища, електронні адреси, імена користувачів... обмінюється між Okta та іншими додатками. Це цікаво, оскільки, якщо користувач може змінити в Okta поле (таке як його ім'я або електронна адреса), яке потім використовується зовнішнім додатком для ідентифікації користувача, зловмисник може спробувати взяти під контроль інші облікові записи.
Більше того, у профілі User (default) з Okta ви можете побачити які поля має кожен користувач і які з них є доступними для редагування користувачами. Якщо ви не можете побачити панель адміністратора, просто перейдіть до оновлення інформації про свій профіль і ви побачите, які поля ви можете оновити (зверніть увагу, що для оновлення електронної адреси вам потрібно буде її підтвердити).
Довідники дозволяють імпортувати людей з існуючих джерел. Я думаю, тут ви побачите користувачів, імпортованих з інших довідників.
Я цього не бачив, але думаю, що це цікаво, щоб дізнатися інші довідники, які Okta використовує для імпорту користувачів, тому якщо ви компрометуєте цей довідник, ви могли б встановити деякі значення атрибутів у користувачів, створених в Okta, і можливо, скомпрометувати середовище Okta.
Джерело профілю - це додаток, який діє як джерело правди для атрибутів профілю користувача. Користувач може бути джерелом лише з одного додатка або довідника одночасно.
Я цього не бачив, тому будь-яка інформація про безпеку та хакерство щодо цієї опції буде вдячно прийнята.
Перевірте на вкладці Domains цього розділу електронні адреси, які використовуються для надсилання електронних листів, та власний домен всередині Okta компанії (який ви, напевно, вже знаєте).
Більше того, на вкладці Setting, якщо ви адміністратор, ви можете "Використовувати власну сторінку виходу" і встановити власне URL.
Тут нічого цікавого.
Тут ви можете знайти налаштовані додатки, але ми побачимо деталі цих пізніше в іншому розділі.
Цікава настройка, але нічого надто цікавого з точки зору безпеки.
Тут ви можете знайти всі налаштовані додатки та їх деталі: Хто має доступ до них, як вони налаштовані (SAML, OpenID), URL для входу, відображення між Okta та додатком...
На вкладці Sign On також є поле під назвою Password reveal, яке дозволить користувачу показати свій пароль при перевірці налаштувань додатка. Щоб перевірити налаштування додатка з панелі користувача, натисніть на 3 крапки:
І ви зможете побачити деякі деталі про додаток (наприклад, функцію показу пароля, якщо вона увімкнена):
Використовуйте сертифікацію доступу, щоб створити аудиторські кампанії для періодичного перегляду доступу ваших користувачів до ресурсів та автоматичного затвердження або відкликання доступу, коли це необхідно.
Я цього не бачив, але думаю, що з точки зору захисту це гарна функція.
Електронні листи сповіщень про безпеку: Усі повинні бути увімкнені.
Інтеграція CAPTCHA: Рекомендується встановити принаймні невидиму reCaptcha
Безпека організації: Усе може бути увімкнено, а електронні листи активації не повинні затримуватися надовго (7 днів - це нормально)
Запобігання перерахуванню користувачів: Обидва повинні бути увімкнені
Зверніть увагу, що запобігання перерахуванню користувачів не діє, якщо дозволено будь-яку з наступних умов (Див. Управління користувачами для отримання додаткової інформації):
Самостійна реєстрація
JIT потоки з електронною автентифікацією
Налаштування Okta ThreatInsight: Логування та забезпечення безпеки на основі рівня загрози
Тут можна знайти правильно та небезпечні налаштовані налаштування.
Тут ви можете знайти всі методи автентифікації, які може використовувати користувач: Пароль, телефон, електронна пошта, код, WebAuthn... Натискаючи на автентифікатор пароля, ви можете побачити політику паролів. Перевірте, щоб вона була сильною.
На вкладці Enrollment ви можете побачити, які з них є обов'язковими або необов'язковими:
Рекомендується вимкнути телефон. Найсильнішими, ймовірно, є комбінація пароля, електронної пошти та WebAuthn.
Кожен додаток має політику автентифікації. Політика автентифікації перевіряє, що користувачі, які намагаються увійти в додаток, відповідають певним умовам, і вона забезпечує вимоги до факторів на основі цих умов.
Тут ви можете знайти вимоги для доступу до кожного додатку. Рекомендується вимагати принаймні пароль та інший метод для кожного додатку. Але якщо ви, як атакуючий, знайдете щось більш слабке, ви можете спробувати атакувати це.
Тут ви можете знайти політики сесій, призначені різним групам. Наприклад:
Рекомендується вимагати MFA, обмежити тривалість сесії на кілька годин, не зберігати куки сесії через розширення браузера та обмежити місцезнаходження та постачальника ідентичності (якщо це можливо). Наприклад, якщо кожен користувач повинен входити з певної країни, ви могли б дозволити лише це місцезнаходження.
Постачальники ідентичності (IdPs) - це служби, які керують обліковими записами користувачів. Додавання IdPs в Okta дозволяє вашим кінцевим користувачам самостійно реєструватися з вашими власними додатками, спочатку автентифікуючись за допомогою соціального облікового запису або смарт-карти.
На сторінці постачальників ідентичності ви можете додати соціальні входи (IdPs) та налаштувати Okta як постачальника послуг (SP), додавши вхідний SAML. Після того, як ви додали IdPs, ви можете налаштувати правила маршрутизації, щоб направляти користувачів до IdP на основі контексту, такого як місцезнаходження користувача, пристрій або домен електронної пошти.
Якщо будь-який постачальник ідентичності налаштований з точки зору атакуючого та захисника, перевірте цю конфігурацію та чи є джерело дійсно надійним, оскільки атакуючий, який його скомпрометує, також може отримати доступ до середовища Okta.
Делегована автентифікація дозволяє користувачам входити в Okta, вводячи облікові дані для Active Directory (AD) або LDAP сервера їхньої організації.
Знову ж таки, перевірте це, оскільки атакуючий, який скомпрометує AD організації, може отримати можливість переходу до Okta завдяки цій настройці.
Мережева зона - це налаштовувана межа, яку ви можете використовувати для надання або обмеження доступу до комп'ютерів і пристроїв у вашій організації на основі IP-адреси, яка запитує доступ. Ви можете визначити мережеву зону, вказавши одну або кілька окремих IP-адрес, діапазони IP-адрес або географічні місця.
Після того, як ви визначите одну або кілька мережевих зон, ви можете використовувати їх у глобальних політиках сесій, політиках автентифікації, сповіщеннях VPN та правилах маршрутизації.
З точки зору атакуючого цікаво знати, які IP-адреси дозволені (і перевірити, чи є якісь IP-адреси більш привілейованими за інші). З точки зору атакуючого, якщо користувачі повинні отримувати доступ з певної IP-адреси або регіону, перевірте, чи правильно використовується ця функція.
Управління кінцевими точками: Управління кінцевими точками - це умова, яка може бути застосована в політиці автентифікації, щоб забезпечити доступ до додатка для керованих пристроїв.
Я цього ще не бачив. TODO
Служби сповіщень: Я цього ще не бачив. TODO
Ви можете створити токени API Okta на цій сторінці та побачити ті, які були створені, їх привілеї, час закінчення та URL-адреси джерела. Зверніть увагу, що токени API генеруються з дозволами користувача, який створив токен, і дійсні лише якщо користувач, який їх створив, є активним.
Довірені джерела надають доступ до веб-сайтів, які ви контролюєте та довіряєте для доступу до вашої організації Okta через API Okta.
Не повинно бути багато токенів API, оскільки, якщо їх багато, атакуючий може спробувати отримати до них доступ і використовувати їх.
Автоматизації дозволяють створювати автоматизовані дії, які виконуються на основі набору умов тригера, які виникають під час життєвого циклу кінцевих користувачів.
Наприклад, умовою може бути "Неактивність користувача в Okta" або "Закінчення терміну дії пароля користувача в Okta", а дією може бути "Надіслати електронний лист користувачу" або "Змінити стан життєвого циклу користувача в Okta".
Завантажте журнали. Вони надсилаються на електронну адресу поточного облікового запису.
Тут ви можете знайти журнали дій, виконаних користувачами, з великою кількістю деталей, таких як вхід в Okta або в додатки через Okta.
Це може імпортувати журнали з інших платформ, доступних через Okta.
Перевірте досягнуті обмеження швидкості API.
Тут ви можете знайти загальну інформацію про середовище Okta, таку як назва компанії, адреса, електронна адреса для виставлення рахунків, електронна адреса технічного контакту та також хто повинен отримувати оновлення Okta і які види оновлень Okta.
Тут ви можете завантажити агенти Okta для синхронізації Okta з іншими технологіями.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
