Italian - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

Okta Hardening

Impara l'hacking AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!

Altri modi per supportare HackTricks:

Directory

Persone

Dal punto di vista di un attaccante, questo è molto interessante poiché sarai in grado di vedere tutti gli utenti registrati, i loro indirizzi email, i gruppi di cui fanno parte, i profili e persino i dispositivi (telefoni cellulari insieme ai loro sistemi operativi).

Per una revisione whitebox controlla che non ci siano diversi "Azioni utente in sospeso" e "Reset password".

Gruppi

Qui trovi tutti i gruppi creati in Okta. È interessante capire i diversi gruppi (insieme di permessi) che potrebbero essere concessi agli utenti. È possibile vedere le persone incluse nei gruppi e le app assegnate a ciascun gruppo.

Naturalmente, qualsiasi gruppo con il nome di admin è interessante, specialmente il gruppo Amministratori globali, controlla i membri per scoprire chi sono i membri più privilegiati.

Da una revisione whitebox, non dovrebbero esserci più di 5 amministratori globali (meglio se ce ne sono solo 2 o 3).

Dispositivi

Qui trovi un elenco di tutti i dispositivi di tutti gli utenti. Puoi anche vedere se è in corso una gestione attiva o meno.

Editor del profilo

Qui è possibile osservare come le informazioni chiave come nomi, cognomi, email, nomi utente... sono condivise tra Okta e altre applicazioni. Questo è interessante perché se un utente può modificare in Okta un campo (come il suo nome o email) che viene poi utilizzato da un'applicazione esterna per identificare l'utente, un insider potrebbe provare a prendere il controllo di altri account.

Inoltre, nel profilo Utente (predefinito) da Okta puoi vedere quali campi ha ciascun utente e quali sono scrivibili dagli utenti. Se non riesci a vedere il pannello di amministrazione, vai semplicemente a aggiornare le informazioni del tuo profilo e vedrai quali campi puoi aggiornare (nota che per aggiornare un indirizzo email dovrai verificarlo).

Integrazioni directory

Le directory ti consentono di importare persone da fonti esistenti. Immagino che qui vedrai gli utenti importati da altre directory.

Non l'ho visto, ma immagino che sia interessante scoprire altre directory che Okta sta utilizzando per importare utenti in modo da poter compromettere quella directory e impostare alcuni valori degli attributi negli utenti creati in Okta e forse compromettere l'ambiente Okta.

Origini del profilo

Un'origine del profilo è un'applicazione che funge da fonte di verità per gli attributi del profilo dell'utente. Un utente può essere originato da una singola applicazione o directory alla volta.

Non l'ho visto, quindi qualsiasi informazione sulla sicurezza e sull'hacking riguardo a questa opzione è apprezzata.

Personalizzazioni

Marchi

Controlla nella scheda Domini di questa sezione gli indirizzi email utilizzati per inviare email e il dominio personalizzato all'interno di Okta dell'azienda (che probabilmente conosci già).

Inoltre, nella scheda Impostazioni, se sei amministratore, puoi "Utilizzare una pagina di disconnessione personalizzata" e impostare un URL personalizzato.

SMS

Nulla di interessante qui.

Dashboard per l'utente finale

Qui puoi trovare le applicazioni configurate, ma vedremo i dettagli di queste più avanti in una sezione diversa.

Altro

Impostazione interessante, ma nulla di super interessante dal punto di vista della sicurezza.

Applicazioni

Applicazioni

Qui puoi trovare tutte le applicazioni configurate e i loro dettagli: Chi ha accesso a loro, come sono configurate (SAML, OPenID), URL per il login, i mapping tra Okta e l'applicazione...

Nella scheda Accesso c'è anche un campo chiamato Rivelazione password che consentirebbe a un utente di rivelare la sua password quando controlla le impostazioni dell'applicazione. Per controllare le impostazioni di un'applicazione dal Pannello utente, fai clic sui 3 punti:

E potresti vedere ulteriori dettagli sull'app (come la funzione di rivelazione della password, se è abilitata):

Governance dell'identità

Certificazioni di accesso

Utilizza le Certificazioni di accesso per creare campagne di audit per rivedere periodicamente l'accesso degli utenti alle risorse e approvare o revocare automaticamente l'accesso quando necessario.

Non l'ho visto usato, ma immagino che da un punto di vista difensivo sia una bella funzionalità.

Sicurezza

Generale

  • Email di notifica di sicurezza: Tutte dovrebbero essere abilitate.

  • Integrazione CAPTCHA: È consigliabile impostare almeno il reCaptcha invisibile

  • Sicurezza dell'organizzazione: Tutto può essere abilitato e le email di attivazione non dovrebbero durare a lungo (7 giorni vanno bene)

  • Prevenzione dell'enumerazione degli utenti: Entrambi dovrebbero essere abilitati

  • Nota che la Prevenzione dell'enumerazione degli utenti non ha effetto se sono consentite una delle seguenti condizioni (Vedi Gestione utenti per ulteriori informazioni):

  • Registrazione self-service

  • Flussi JIT con autenticazione via email

  • Impostazioni Okta ThreatInsight: Registra e applica la sicurezza in base al livello di minaccia

HealthInsight

Qui è possibile trovare impostazioni correttamente e pericolosamente configurate.

Autenticatori

Qui puoi trovare tutti i metodi di autenticazione che un utente potrebbe utilizzare: Password, telefono, email, codice, WebAuthn... Cliccando sull'autenticatore Password puoi vedere la policy della password. Controlla che sia robusta.

Nella scheda Registrazione puoi vedere quali sono quelli richiesti o opzionali:

È consigliabile disabilitare il Telefono. I più forti sono probabilmente una combinazione di password, email e WebAuthn.

Politiche di autenticazione

Ogni app ha una politica di autenticazione. La politica di autenticazione verifica che gli utenti che provano a accedere all'app soddisfino condizioni specifiche e impone requisiti di fattore basati su tali condizioni.

Qui puoi trovare i requisiti per accedere a ciascuna applicazione. È consigliabile richiedere almeno la password e un altro metodo per ciascuna applicazione. Ma se come attaccante trovi qualcosa di più debole potresti essere in grado di attaccarlo.

Politica globale delle sessioni

Qui puoi trovare le politiche delle sessioni assegnate a diversi gruppi. Per esempio:

Si consiglia di richiedere MFA, limitare la durata della sessione a alcune ore, non persistere i cookie di sessione attraverso le estensioni del browser e limitare la posizione e il Provider di Identità (se possibile). Per esempio, se ogni utente dovrebbe accedere da un determinato paese, potresti consentire solo quella posizione.

Provider di Identità

I Provider di Identità (IdP) sono servizi che gestiscono gli account degli utenti. Aggiungere IdP in Okta consente ai tuoi utenti finali di registrarsi autonomamente con le tue applicazioni personalizzate autenticandosi prima con un account social o una smart card.

Nella pagina dei Provider di Identità, puoi aggiungere accessi sociali (IdP) e configurare Okta come un fornitore di servizi (SP) aggiungendo SAML in ingresso. Dopo aver aggiunto IdP, puoi configurare regole di routing per indirizzare gli utenti a un IdP in base al contesto, come la posizione dell'utente, il dispositivo o il dominio email.

Se è configurato un qualsiasi provider di identità dal punto di vista di attaccanti e difensori, controlla quella configurazione e se la fonte è davvero affidabile poiché un attaccante che la compromette potrebbe ottenere accesso anche all'ambiente Okta.

Autenticazione Delegata

L'autenticazione delegata consente agli utenti di accedere a Okta inserendo le credenziali del server Active Directory (AD) o LDAP della propria organizzazione.

Ricontrolla anche questo, poiché un attaccante che compromette l'AD di un'organizzazione potrebbe essere in grado di passare a Okta grazie a questa impostazione.

Rete

Una zona di rete è un confine configurabile che puoi utilizzare per concedere o limitare l'accesso a computer e dispositivi nella tua organizzazione in base all'indirizzo IP che richiede l'accesso. Puoi definire una zona di rete specificando uno o più indirizzi IP individuali, intervalli di indirizzi IP o posizioni geografiche.

Dopo aver definito una o più zone di rete, puoi utilizzarle nelle Politiche globali delle sessioni, nelle politiche di autenticazione, nelle notifiche VPN e nelle regole di routing.

Dal punto di vista degli attaccanti, è interessante sapere quali IP sono consentiti (e controllare se ci sono IP più privilegiati di altri). Dal punto di vista degli attaccanti, se gli utenti dovrebbero accedere da un indirizzo IP o regione specifici, controlla che questa funzionalità sia utilizzata correttamente.

Integrazioni dei Dispositivi

  • Gestione degli Endpoint: La gestione degli endpoint è una condizione che può essere applicata in una politica di autenticazione per garantire che i dispositivi gestiti abbiano accesso a un'applicazione.

  • Non ho ancora visto questo utilizzato. DA FARE

  • Servizi di notifica: Non ho ancora visto questo utilizzato. DA FARE

API

Puoi creare token API Okta in questa pagina e vedere quelli che sono stati creati, i loro privilegi, il tempo di scadenza e gli URL di origine. Nota che i token API sono generati con i permessi dell'utente che ha creato il token e sono validi solo se l'utente che li ha creati è attivo.

Gli Origini attendibili concedono l'accesso a siti web che controlli e di cui ti fidi per accedere alla tua organizzazione Okta tramite l'API di Okta.

Non dovrebbero esserci molti token API, poiché se ce ne sono, un attaccante potrebbe provare ad accedervi e utilizzarli.

Flusso di Lavoro

Automazioni

Le automazioni ti consentono di creare azioni automatizzate che vengono eseguite in base a un insieme di condizioni di trigger che si verificano durante il ciclo di vita degli utenti finali.

Ad esempio, una condizione potrebbe essere "Inattività dell'utente in Okta" o "Scadenza della password dell'utente in Okta" e l'azione potrebbe essere "Inviare un'email all'utente" o "Cambiare lo stato del ciclo di vita dell'utente in Okta".

Report

Report

Scarica i log. Vengono inviati all'indirizzo email dell'account corrente.

Log di Sistema

Qui puoi trovare i log delle azioni eseguite dagli utenti con molti dettagli come l'accesso in Okta o nelle applicazioni tramite Okta.

Monitoraggio dell'Importazione

Questo può importare log dagli altri platform accessi con Okta.

Limiti di velocità

Controlla i limiti di velocità API raggiunti.

Impostazioni

Account

Qui puoi trovare informazioni generiche sull'ambiente Okta, come il nome dell'azienda, l'indirizzo, il contatto di fatturazione via email, il contatto tecnico via email e anche chi dovrebbe ricevere gli aggiornamenti di Okta e che tipo di aggiornamenti di Okta.

Download

Qui puoi scaricare agenti Okta per sincronizzare Okta con altre tecnologie.

PreviousOkta SecurityNextSupabase Security

Last updated