Okta Hardening

Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF Ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στη 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

Κατάλογος

Άνθρωποι

Από την οπτική γωνία ενός επιτιθέμενου, αυτό είναι πολύ ενδιαφέρον καθώς θα μπορείτε να δείτε όλους τους εγγεγραμμένους χρήστες, τις διευθύνσεις email τους, τις ομάδες στις οποίες ανήκουν, τα προφίλ και ακόμη και τις συσκευές (κινητά μαζί με τα λειτουργικά τους συστήματα).

Για μια λευκή αναθεώρηση, ελέγξτε ότι δεν υπάρχουν πολλές "Εκκρεμείς ενέργειες χρήστη" και "Επαναφορά κωδικού πρόσβασης".

Ομάδες

Εδώ βρίσκετε όλες τις δημιουργημένες ομάδες στο Okta. Είναι ενδιαφέρον να κατανοήσετε τις διάφορες ομάδες (σύνολο δικαιωμάτων) που μπορούν να χορηγηθούν στους χρήστες. Είναι δυνατόν να δείτε τους άνθρωπους που περιλαμβάνονται στις ομάδες και τις εφαρμογές που έχουν ανατεθεί σε κάθε ομάδα.

Φυσικά, οποιαδήποτε ομάδα με το όνομα admin είναι ενδιαφέρουσα, ειδικά η ομάδα Παγκόσμιοι Διαχειριστές, ελέγξτε τα μέλη για να μάθετε ποιοι είναι οι πιο προνομιούχοι μέλη.

Από μια λευκή αναθεώρηση, δεν πρέπει να υπάρχουν περισσότεροι από 5 παγκόσμιοι διαχειριστές (καλύτερα αν υπάρχουν μόνο 2 ή 3).

Συσκευές

Βρείτε εδώ μια λίστα με όλες τις συσκευές όλων των χρηστών. Μπορείτε επίσης να δείτε εάν διαχειρίζονται ενεργά ή όχι.

Επεξεργαστής προφίλ

Εδώ είναι δυνατόν να παρατηρήσετε πώς κοινοποιούνται βασικές πληροφορίες όπως τα ονόματα, τα επώνυμα, οι διευθύνσεις email, τα ονόματα χρηστών... μεταξύ του Okta και άλλων εφαρμογών. Αυτό είναι ενδιαφέρον επειδή εάν ένας χρήστης μπορεί να τροποποιήσει στο Okta ένα πεδίο (όπως το όνομά του ή τη διεύθυνση email του) που στη συνέχεια χρησιμοποιείται από μια εξωτερική εφαρμογή για να αναγνωρίσει τον χρήστη, ένας εσωτερικός χρήστης μπορεί να προσπαθήσει να αναλάβει τον έλεγχο άλλων λογαριασμών.

Επιπλέον, στο προφίλ Χρήστης (προεπιλογή) από το Okta μπορείτε να δείτε ποια πεδία έχει κάθε χρήστης και ποια είναι εγγράψιμα από τους χρήστες. Εάν δεν μπορείτε να δείτε τον πίνακα διαχείρισης, απλά πη

Πολιτική Παγκόσμιας Συνεδρίας

Εδώ μπορείτε να βρείτε τις πολιτικές συνεδρίας που έχουν ανατεθεί σε διάφορες ομάδες. Για παράδειγμα:

Συνιστάται να ζητήσετε την πολυπαραγοντική πιστοποίηση, να περιορίσετε τη διάρκεια ζωής της συνεδρίας σε μερικές ώρες, να μην αποθηκεύετε τα cookies συνεδρίας σε πρόσθετα περιηγητή και να περιορίσετε την τοποθεσία και τον Πάροχο Ταυτότητας (αν είναι δυνατόν). Για παράδειγμα, αν κάθε χρήστης πρέπει να συνδεθεί από μια χώρα, μπορείτε να επιτρέψετε μόνο αυτήν την τοποθεσία.

Παρόχοι Ταυτότητας

Οι Παρόχοι Ταυτότητας (IdPs) είναι υπηρεσίες που διαχειρίζονται τους λογαριασμούς χρηστών. Η προσθήκη Παρόχων Ταυτότητας στο Okta επιτρέπει στους τελικούς χρήστες να εγγραφούν αυτόνομα με τις προσαρμοσμένες εφαρμογές σας, προσδιορίζοντας πρώτα την ταυτότητά τους με έναν κοινωνικό λογαριασμό ή ένα έξυπνο κάρτ.

Στη σελίδα Παρόχων Ταυτότητας, μπορείτε να προσθέσετε κοινωνικές συνδέσεις (IdPs) και να διαμορφώσετε το Okta ως πάροχο υπηρεσιών (SP) προσθέτοντας εισερχόμενο SAML. Αφού προσθέσετε τους Παρόχους Ταυτότητας, μπορείτε να δημιουργήσετε κανόνες δρομολόγησης για να κατευθύνετε τους χρήστες σε έναν Πάροχο Ταυτότητας με βάση το περιβάλλον, όπως η τοποθεσία του χρήστη, τη συσκευή ή τον τομέα του ηλεκτρονικού ταχυδρομείου.

Εάν έχει διαμορφωθεί οποιοσδήποτε πάροχος ταυτότητας από την άποψη του επιτιθέμενου και του υπερασπιστή, ελέγξτε αυτήν τη διαμόρφωση και αν η πηγή είναι πραγματικά αξιόπιστη, καθώς ένας επιτιθέμενος που την παραβιάζει μπορεί να έχει πρόσβαση και στο περιβάλλον του Okta.

Αναθέσεις Εξουσιοδότησης

Οι αναθέσεις εξουσιοδότησης επιτρέπουν στους χρήστες να συνδεθούν στο Okta εισάγοντας διαπιστευτήρια για τον ενεργό κατάλογο (AD) ή τον LDAP διακομιστή τους οργανισμού.

Ξαναελέγξτε αυτό, καθώς ένας επιτιθέμενος που παραβιάζει τον ενεργό κατάλογο του οργανισμού μπορεί να έχει πρόσβαση στο Okta χάρη σε αυτήν τη ρύθμιση.

Δίκτυο

Μια ζώνη δικτύου είναι ένα προσαρμόσιμο όριο που μπορείτε να χρησιμοποιήσετε για να επιτρέψετε ή περιορίσετε την πρόσβαση σε υπολογιστές και συσκευές στον οργανισμό σας με βάση τη διεύθυνση IP που ζητά την πρόσβαση. Μπορείτε να καθορίσετε μια ζώνη δικτύου καθορίζοντας μία ή περισσότερες μεμονωμένες διευθύνσεις IP, εύρη διευθύνσεων IP ή γεωγραφικές τοποθεσίες.

Αφού καθορίσετε μία ή περισσότερες ζώνες δικτύου, μπορείτε να τις χρησιμοποιήσετε στις παγκόσμιες πολιτικές συνεδρίας, στις πολιτικές εξουσιοδότησης, στις ειδοποιήσεις VPN και στους κανόνες δρομολόγησης.

Από την άποψη ενός επιτιθέμενου, είναι ενδιαφέρον να γνωρίζετε ποιοι Παροχοί Ταυτότητας επιτρέπονται (και να ελέγξετε αν κάποιες διευθύνσεις IP έχουν περισσότερα προνόμια από άλλες). Από την άποψη ενός επιτιθέμενου, αν οι χρήστες πρέπει να έχουν πρόσβαση από μια συγκεκριμένη διεύθυνση IP ή περιοχή, ελέγξτε ότι αυτή η δυνατότητα χρησιμοποιείται σωστά.

Ενσωματωμένες Συσκευές

Διαχείριση Τερματικού: Η διαχείριση τερματικού είναι μια συνθήκη που μπορεί να εφαρμοστεί σε μια πολιτική εξουσιοδότησης για να εξασφαλίσει ότι οι διαχειριζόμενες συσκευέ

PreviousOkta Security NextSupabase Security

Last updated 3 months ago