Okta Hardening

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Andere maniere om HackTricks te ondersteun:

Als jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai Kyk na die INSKRYWINGSPLANNE!
Kry die amptelike PEASS & HackTricks swag
Ontdek Die PEASS Familie, ons versameling van eksklusiewe NFTs
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel jou haktruuks deur PRs in te dien by die HackTricks en HackTricks Cloud github-opslag.

Gids

Mense

Vanuit 'n aanvaller se perspektief is dit baie interessant omdat jy alle geregistreerde gebruikers, hul e-posadressen, die groepe waarvan hulle deel is, profiele en selfs toestelle (selfone saam met hul bedryfstelsels) kan sien.

Vir 'n witdoos-oorsig, kontroleer dat daar nie verskeie "Hangende gebruikeraksie" en "Wagwoord herstel" is nie.

Groepe

Hier vind jy al die geskepte groepe in Okta. Dit is interessant om die verskillende groepe (stel van toestemmings) te verstaan wat aan gebruikers toegeken kan word. Dit is moontlik om die mense ingesluit in groepe en toepassings toegewys aan elke groep te sien.

Natuurlik is enige groep met die naam admin interessant, veral die groep Globale Administrateurs, kontroleer die lede om uit te vind wie die mees bevoorregte lede is.

Vanuit 'n witdoos-oorsig, moet daar nie meer as 5 globale admins wees (beter as daar slegs 2 of 3 is).

Toestelle

Vind hier 'n lys van al die toestelle van al die gebruikers. Jy kan ook sien of dit aktief bestuur word of nie.

Profielredakteur

Hier is dit moontlik om te sien hoe sleutelinligting soos voornames, vanes, e-posse, gebruikersname... gedeel word tussen Okta en ander toepassings. Dit is interessant omdat as 'n gebruiker 'n veld in Okta kan verander (soos sy naam of e-pos) wat dan deur 'n eksterne toepassing gebruik word om die gebruiker te identifiseer, kan 'n binneste persoon probeer om ander rekeninge oor te neem.

Verder, in die profiel Gebruiker (verstek) van Okta kan jy sien watter velde elke gebruiker het en watter een deur gebruikers geskryf kan word. As jy nie die admin-paneel kan sien nie, gaan net na werk jou profiel by en jy sal sien watter velde jy kan opdateer (let daarop dat jy 'n e-posadres moet verifieer om dit op te dateer).

Gidsintegrasiess

Gidse laat jou toe om mense van bestaande bronne in te voer. Ek vermoed hier sal jy die gebruikers sien wat van ander gidse ingevoer is.

Ek het dit nie gesien nie, maar ek vermoed dit is interessant om uit te vind ander gidse wat Okta gebruik om gebruikers in te voer sodat as jy daardie gids kompromitteer kan jy sommige eienskappe waardes in die gebruikers wat in Okta geskep is, stel en miskien die Okta-omgewing kompromitteer.

Profielbronne

'n Profielbron is 'n toepassing wat as 'n bron van waarheid vir gebruikersprofiel eienskappe optree. 'n Gebruiker kan slegs deur 'n enkele toepassing of gids as bron gebruik word op 'n slag.

Ek het dit nie gesien nie, so enige inligting oor sekuriteit en hacking met betrekking tot hierdie opsie word waardeer.

Aanpassings

Handelsmerke

Kyk in die Domeine-tabblad van hierdie afdeling na die e-posadresse wat gebruik word om e-posse te stuur en die aangepaste domein binne Okta van die maatskappy (wat jy waarskynlik al ken).

Verder, in die Instelling-tabblad, as jy 'n admin is, kan jy "'n aangepaste afmeldingsbladsy gebruik" en 'n aangepaste URL instel.

SMS

Niks interessant hier nie.

Eindgebruiker Dashboard

Jy kan hier geconfigureerde toepassings vind, maar ons sal die besonderhede daarvan later in 'n ander afdeling sien.

Ander

Interessante instelling, maar niks baie interessant vanuit 'n sekuriteits-oogpunt nie.

Toepassings

Hier kan jy al die gekonfigureerde toepassings en hul besonderhede vind: Wie het toegang daartoe, hoe is dit gekonfigureer (SAML, OPenID), URL om in te teken, die koppeling tussen Okta en die toepassing...

In die Aanmelding-tabblad is daar ook 'n veld genaamd Wagwoord onthul wat 'n gebruiker sou toelaat om sy wagwoord te onthul wanneer hy die toepassingsinstellings nagaan. Om die instellings van 'n toepassing vanuit die Gebruikerspaneel te kontroleer, klik op die 3 kolletjies:

En jy kan meer besonderhede oor die toepassing sien (soos die wagwoord onthul-funksie, as dit geaktiveer is):

Identiteitsbestuur

Toegangsertifisering

Gebruik Toegangsertifisering om ouditveldtogte te skep om jou gebruikers se toegang tot hulpbronne periodiek te hersien en toegang outomaties goed of te herroep wanneer dit nodig is.

Ek het dit nie gesien nie, maar ek vermoed dat dit vanuit 'n verdedigende oogpunt 'n goeie kenmerk is.

Sekuriteit

Algemeen

Sekuriteitskennisgewings-e-posse: Alles moet geaktiveer wees.
CAPTCHA-integrasie: Dit word aanbeveel om ten minste die onsigbare reCaptcha in te stel.
Organisasiesekuriteit: Alles kan geaktiveer word en aktiverings-e-posse moet nie lank duur nie (7 dae is goed)
Gebruikeropsomming voorkoming: Beide moet geaktiveer wees
Let daarop dat Gebruikeropsomming voorkoming nie van krag is as enige van die volgende toestande toegelaat word nie (Sien Gebruikerbestuur vir meer inligting):
Selfdiensregistrasie
JIT-vloei met e-posverifikasie
Okta ThreatInsight-instellings: Log en dwing sekuriteit gebaseer op dreigingsvlak

HealthInsight

Hier is dit moontlik om korrek en gevaarlike gekonfigureerde instellings te vind.

Verifikatore

Hier kan jy al die verifikasiemetodes vind wat 'n gebruiker kan gebruik: Wagwoord, telefoon, e-pos, kode, WebAuthn... Deur op die Wagwoordverifikator te klik, kan jy die wagwoordbeleid sien. Kontroleer dat dit sterk is.

In die Inschrywing-tabblad kan jy sien watter eenhede verpligtend of opsioneel is:

Dit word aanbeveel om die Telefoon uit te skakel. Die sterkste is waarskynlik 'n kombinasie van wagwoord, e-pos en WebAuthn.

Verifikasiebeleid

Elke toepassing het 'n verifikasiebeleid. Die verifikasiebeleid verifieer dat gebruikers wat probeer om by die toepassing aan te meld, spesifieke toestande ontmoet, en dit dwing faktorvereistes gebaseer op daardie toestande.

Hier kan jy die vereistes om elke toepassing te betree vind. Dit word aanbeveel om ten minste 'n wagwoord en 'n ander metode vir elke toepassing aan te vra. Maar as aanvaller vind jy iets swakker, kan jy dit dalk aanval.

Globale Sessiebeleid

Hier kan jy die sessiebeleide wat aan verskillende groepe toegewys is, vind. Byvoorbeeld:

Dit word aanbeveel om MFA aan te vra, die sessielewensduur tot 'n paar uur te beperk, sessie-koekies nie oor blaaieruitbreidings te behou nie en die ligging en Identiteitsverskaffer (indien moontlik) te beperk. Byvoorbeeld, as elke gebruiker van 'n land moet aanmeld, kan jy slegs hierdie ligging toelaat.

Identiteitsverskaffers

Identiteitsverskaffers (IdPs) is dienste wat gebruikersrekeninge bestuur. Deur IdPs by Okta toe te voeg, kan jou eindgebruikers selfregistreer met jou aangepaste programme deur eers met 'n sosiale rekening of 'n slimkaart te verifieer.

Op die Identiteitsverskaffers-bladsy kan jy sosiale aanmeldings (IdPs) byvoeg en Okta as 'n diensverskaffer (SP) konfigureer deur inkomende SAML by te voeg. Nadat jy IdPs bygevoeg het, kan jy roetereëls opstel om gebruikers na 'n IdP te stuur op grond van konteks, soos die gebruiker se ligging, toestel, of e-posdomein.

As enige identiteitsverskaffer gekonfigureer is vanuit 'n aanvaller en verdediger se oogpunt, kontroleer daardie konfigurasie en of die bron werklik betroubaar is, aangesien 'n aanvaller wat dit kompromitteer ook toegang tot die Okta-omgewing kan kry.

Gedelegerde Verifikasie

Gedelegerde verifikasie maak dit vir gebruikers moontlik om by Okta aan te meld deur geloofsbriewe vir hul organisasie se Aktiewe Gids (AD) of LDAP-bediener in te voer.

Hersien dit weer, aangesien 'n aanvaller wat 'n organisasie se AD kompromitteer, dalk in staat kan wees om na Okta te skuif danksy hierdie instelling.

Netwerk

'n Netwerk-sone is 'n aanpasbare grens wat jy kan gebruik om toegang tot rekenaars en toestelle in jou organisasie te verleen of te beperk op grond van die IP-adres wat toegang versoek. Jy kan 'n netwerk-sone definieer deur een of meer individuele IP-adresse, reekse van IP-adresse, of geografiese ligginge te spesifiseer.

Nadat jy een of meer netwerksones gedefinieer het, kan jy hulle gebruik in Globale Sessiebeleide, verifikasiebeleide, VPN-kennisgewings, en roetereëls.

Vanuit 'n aanvaller se perspektief is dit interessant om te weet watter IP-adresse toegelaat word (en kontroleer of enige IPs meer bevoorreg is as ander). Vanuit 'n aanvaller se perspektief, as die gebruikers vanaf 'n spesifieke IP-adres of streek moet toegang verkry, kontroleer dat hierdie funksie behoorlik gebruik word.

Toestelintegrasies

Eindpuntbestuur: Eindpuntbestuur is 'n toestand wat in 'n verifikasiebeleid toegepas kan word om te verseker dat bestuurde toestelle toegang tot 'n toepassing het.
Ek het nog nie gesien dat dit gebruik word nie. TODO
Kennisgewingsdienste: Ek het nog nie gesien dat dit gebruik word nie. TODO

API

Jy kan Okta-API-tokens op hierdie bladsy skep en sien watter tokens geskep is, hulle bevoegdhede, vervaltyd, en Oorsprong-URL's. Let daarop dat API-tokens gegenereer word met die toestemmings van die gebruiker wat die token geskep het en slegs geldig is as die gebruiker wat hulle geskep het, aktief is.

Die Vertroude Oorspronge gee toegang tot webwerwe wat jy beheer en vertrou om toegang tot jou Okta-org deur die Okta-API te verkry.

Daar behoort nie baie API-tokens te wees nie, aangesien 'n aanvaller kan probeer om toegang daartoe te verkry en dit te gebruik.

Werkvloei

Outomatisering

Outomatisering maak dit moontlik om geoutomatiseerde aksies te skep wat uitgevoer word op grond van 'n stel trigger-toestande wat gedurende die lewensiklus van eindgebruikers plaasvind.

Byvoorbeeld 'n toestand kan wees "Gebruiker-inaktiwiteit in Okta" of "Gebruikerwagwoordverval in Okta" en die aksie kan wees "Stuur 'n e-pos aan die gebruiker" of "Verander gebruikerslewenssiklusstaat in Okta".

Verslae

Laai logboeke af. Hulle word na die e-posadres van die huidige rekening gestuur.

Stelsellog

Hier kan jy die logboeke van die aksies wat deur gebruikers uitgevoer is, vind met baie detail soos aanmelding in Okta of in programme deur Okta.

Invoermonitering

Dit kan logboeke invoer van die ander platforms wat met Okta benader word.

Tariefgrense

Kontroleer die API-tariefgrense wat bereik is.

Instellings

Rekening

Hier kan jy generiese inligting oor die Okta-omgewing vind, soos die maatskappy se naam, adres, e-pos faktureringskontak, e-pos tegniese kontak en ook wie Okta-opdaterings moet ontvang en watter soort Okta-opdaterings.

Aflaaie

Hier kan jy Okta-agente aflaai om Okta met ander tegnologieë te sinchroniseer.

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai Kontroleer die INSKRYWINGSPLANNE!
Kry die amptelike PEASS & HackTricks-swag
Ontdek Die PEASS-familie, ons versameling eksklusiewe NFT's
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.

PreviousOkta Security NextSupabase Security

Last updated 1 month ago