Okta Hardening

Nauka hakowania AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.

Katalog

Osoby

Z perspektywy atakującego jest to bardzo interesujące, ponieważ będziesz mógł zobaczyć wszystkich zarejestrowanych użytkowników, ich adresy email, grupy, do których należą, profile oraz nawet urządzenia (telefony komórkowe wraz z ich systemami operacyjnymi).

Podczas przeglądu whitebox sprawdź, czy nie ma kilku "Oczekujących działań użytkownika" i "Resetów hasła".

Grupy

To tutaj znajdziesz wszystkie utworzone grupy w Okta. Interesujące jest zrozumienie różnych grup (zestaw uprawnień), które mogą być przyznane użytkownikom. Można zobaczyć osoby zawarte w grupach oraz aplikacje przypisane do każdej grupy.

Oczywiście, każda grupa o nazwie admin jest interesująca, zwłaszcza grupa Global Administrators, sprawdź członków, aby dowiedzieć się, kto ma największe uprawnienia.

Podczas przeglądu whitebox nie powinno być więcej niż 5 globalnych administratorów (lepiej, jeśli jest ich tylko 2 lub 3).

Urządzenia

Znajdziesz tutaj listę wszystkich urządzeń wszystkich użytkowników. Możesz również sprawdzić, czy są aktywnie zarządzane czy nie.

Edytor profilu

Tutaj można zobaczyć, jakie kluczowe informacje, takie jak imiona, nazwiska, adresy email, nazwy użytkowników... są udostępniane między Okta a innymi aplikacjami. Jest to interesujące, ponieważ jeśli użytkownik może modyfikować w Okta pole (takie jak jego imię lub email), które jest następnie używane przez zewnętrzną aplikację do identyfikacji użytkownika, wewnętrzny użytkownik może próbować przejąć inne konta.

Co więcej, w profilu Użytkownik (domyślny) z Okta można zobaczyć, jakie pola ma każdy użytkownik i które z nich są możliwe do zapisania przez użytkowników. Jeśli nie widzisz panelu administratora, przejdź do aktualizacji informacji o swoim profilu, a zobaczysz, które pola możesz zaktualizować (zauważ, że do zaktualizowania adresu email będziesz musiał go zweryfikować).

Integracje katalogów

Katalogi pozwalają importować osoby z istniejących źródeł. Przypuszczam, że tutaj zobaczysz osoby zaimportowane z innych katalogów.

Nie widziałem tego, ale przypuszczam, że jest to interesujące, aby dowiedzieć się, z jakich innych katalogów Okta korzysta do importowania użytkowników, więc jeśli skompromitujesz ten katalog, możesz ustawić wartości atrybutów w użytkownikach utworzonych w Okta i może skompromitować środowisko Okta.

Źródła profilu

Źródło profilu to aplikacja, która działa jako źródło prawdy dla atrybutów profilu użytkownika. Użytkownik może być źródłem tylko jednej aplikacji lub katalogu w danym czasie.

Nie widziałem tego, więc wszelkie informacje dotyczące bezpieczeństwa i hakowania dotyczące tej opcji są mile widziane.

Dostosowania

Marki

Sprawdź w zakładce Domeny tej sekcji adresy email używane do wysyłania wiadomości e-mail i niestandardową domenę wewnątrz Okta firmy (którą prawdopodobnie już znasz).

Co więcej, w zakładce Ustawienia, jeśli jesteś administratorem, możesz "Użyj niestandardowej strony wylogowania" i ustawić niestandardowy adres URL.

SMS

Nic interesującego tutaj.

Panel użytkownika końcowego

Możesz tutaj znaleźć skonfigurowane aplikacje, ale szczegóły tych aplikacji zobaczymy później w innej sekcji.

Inne

Interesujące ustawienie, ale nic super interesującego z punktu widzenia bezpieczeństwa.

Aplikacje

Tutaj znajdziesz wszystkie skonfigurowane aplikacje i ich szczegóły: Kto ma do nich dostęp, jak są skonfigurowane (SAML, OPenID), URL do logowania, mapowania między Okta a aplikacją...

W zakładce Logowanie jest również pole o nazwie Ujawnienie hasła, które pozwoliłoby użytkownikowi ujawnić swoje hasło, sprawdzając ustawienia aplikacji. Aby sprawdzić ustawienia aplikacji z panelu użytkownika, kliknij 3 kropki:

I możesz zobaczyć więcej szczegółów o aplikacji (np. funkcję ujawniania hasła, jeśli jest włączona):

Zarządzanie tożsamością

Certyfikaty dostępu

Użyj Certyfikatów dostępu, aby tworzyć kampanie audytowe w celu okresowego przeglądu dostępu użytkowników do zasobów i automatycznego zatwierdzania lub wycofywania dostępu, gdy jest to wymagane.

Nie widziałem tego używanego, ale przypuszczam, że z punktu widzenia obronnego jest to fajna funkcja.

Bezpieczeństwo

Ogólne

Emaile z powiadomieniami o bezpieczeństwie: Wszystkie powinny być włączone.
Integracja CAPTCHA: Zaleca się ustawienie przynajmniej niewidocznego reCaptcha
Bezpieczeństwo organizacji: Wszystko może być włączone, a emaile aktywacyjne nie powinny być długotrwałe (7 dni jest ok)
Zapobieganie wyliczaniu użytkowników: Oba powinny być włączone
Zauważ, że Zapobieganie wyliczaniu użytkowników nie działa, jeśli któreś z poniższych warunków jest dozwolone (Zobacz Zarządzanie użytkownikami dla więcej informacji):
Rejestracja samodzielna
Przepływy JIT z uwierzytelnianiem email
Ustawienia Okta ThreatInsight: Rejestruj i egzekwuj bezpieczeństwo na podstawie poziomu zagrożenia

HealthInsight

Tutaj można znaleźć poprawnie i niebezpiecznie skonfigurowane ustawienia.

Autentykatory

Tutaj znajdziesz wszystkie metody uwierzytelniania, których użytkownik mógłby użyć: Hasło, telefon, email, kod, WebAuthn... Klikając w autentykator hasła, możesz zobaczyć politykę hasła. Sprawdź, czy jest silna.

W zakładce Rejestracja można zobaczyć, które są wymagane, a które opcjonalne:

Zaleca się wyłączenie Telefonu. Najmocniejsze są prawdopodobnie kombinacje hasła, emaila i WebAuthn.

Polityki uwierzytelniania

Każda aplikacja ma politykę uwierzytelniania. Polityka uwierzytelniania sprawdza, czy użytkownicy, którzy próbują się zalogować do aplikacji, spełniają określone warunki, i nakłada wymagania dotyczące czynników na podstawie tych warunków.

Tutaj można znaleźć wymagania dostępu do każdej aplikacji. Zaleca się żądanie przynajmniej hasła i innego sposobu dla każdej aplikacji. Ale jeśli jako atakujący znajdziesz coś słabszego, możesz być w stanie je zaatakować.

Globalna polityka sesji

Tutaj znajdziesz polityki sesji przypisane do różnych grup. Na przykład:

Zaleca się żądanie MFA, ograniczenie czasu trwania sesji do kilku godzin, nie przechowywanie ciasteczek sesji w rozszerzeniach przeglądarki oraz ograniczenie lokalizacji i dostawcy tożsamości (jeśli to możliwe). Na przykład, jeśli każdy użytkownik powinien logować się z określonego kraju, można zezwolić tylko na tę lokalizację.

Dostawcy Tożsamości

Dostawcy tożsamości (IdPs) to usługi, które zarządzają kontami użytkowników. Dodanie IdPs w Okta umożliwia końcowym użytkownikom samodzielne rejestracje w twoich niestandardowych aplikacjach, logując się najpierw za pomocą konta społecznościowego lub karty inteligentnej.

Na stronie Dostawców Tożsamości możesz dodać logowanie społecznościowe (IdPs) i skonfigurować Okta jako dostawcę usług (SP), dodając przychodzący SAML. Po dodaniu IdPs, możesz skonfigurować reguły routingu, aby kierować użytkowników do IdP na podstawie kontekstu, takiego jak lokalizacja użytkownika, urządzenie lub domena e-mail.

Jeśli jakiś dostawca tożsamości jest skonfigurowany z perspektywy atakującego i obrońcy, sprawdź tę konfigurację i czy źródło jest naprawdę godne zaufania, ponieważ atakujący, który go skompromituje, może uzyskać dostęp do środowiska Okta.

Autoryzacja Delegowana

Autoryzacja delegowana pozwala użytkownikom zalogować się do Okta, wprowadzając dane uwierzytelniające do Aktywnego Katalogu (AD) organizacji lub serwera LDAP.

Ponownie sprawdź to, ponieważ atakujący, który skompromituje katalog AD organizacji, może być w stanie przejść do Okta dzięki tej konfiguracji.

Sieć

Strefa sieciowa to konfigurowalna granica, którą można wykorzystać do udzielania lub ograniczania dostępu do komputerów i urządzeń w twojej organizacji na podstawie adresu IP, który żąda dostępu. Możesz zdefiniować strefę sieciową, określając jeden lub więcej indywidualnych adresów IP, zakresy adresów IP lub lokalizacje geograficzne.

Po zdefiniowaniu jednej lub więcej stref sieciowych, możesz używać ich w Globalnych Politykach Sesji, politykach uwierzytelniania, powiadomieniach VPN i regułach routingu.

Z perspektywy atakującego interesujące jest wiedzieć, które adresy IP są dozwolone (i sprawdzić, czy jakieś adresy IP są bardziej uprzywilejowane niż inne). Z perspektywy atakującego, jeśli użytkownicy powinni uzyskiwać dostęp z określonego adresu IP lub regionu, sprawdź, czy ta funkcja jest właściwie używana.

Integracje Urządzeń

Zarządzanie Punktem Końcowym: Zarządzanie punktem końcowym to warunek, który można zastosować w polityce uwierzytelniania, aby zapewnić, że zarządzane urządzenia mają dostęp do aplikacji.
Jeszcze tego nie widziałem. TODO
Usługi powiadomień: Jeszcze tego nie widziałem. TODO

API

Możesz tworzyć tokeny API Okta na tej stronie i zobaczyć te, które zostały utworzone, ich uprawnienia, czas wygaśnięcia i adresy URL pochodzenia. Należy pamiętać, że tokeny API są generowane z uprawnieniami użytkownika, który je utworzył, i są ważne tylko wtedy, gdy użytkownik, który je utworzył, jest aktywny.

Zaufane źródła umożliwiają dostęp do stron internetowych, które kontrolujesz i którym ufasz, aby uzyskać dostęp do twojej organizacji Okta za pośrednictwem interfejsu API Okta.

Nie powinno być zbyt wielu tokenów API, ponieważ atakujący mógłby próbować uzyskać do nich dostęp i ich używać.

Przepływ pracy

Automatyzacje

Automatyzacje pozwalają tworzyć zautomatyzowane akcje, które uruchamiają się na podstawie zestawu warunków wyzwalających, które występują podczas cyklu życia użytkowników.

Na przykład warunkiem może być "Nieaktywność użytkownika w Okta" lub "Wygaśnięcie hasła użytkownika w Okta", a akcją może być "Wysłanie e-maila do użytkownika" lub "Zmiana stanu cyklu życia użytkownika w Okta".

Raporty

Pobierz logi. Są wysyłane na adres e-mail bieżącego konta.

Dziennik systemowy

Tutaj znajdziesz logi działań wykonywanych przez użytkowników z wieloma szczegółami, takimi jak logowanie się do Okta lub do aplikacji za pośrednictwem Okta.

Monitorowanie Importu

Można importować logi z innych platform, do których uzyskano dostęp za pomocą Okta.

Limity szybkości

Sprawdź osiągnięte limity szybkości API.

Ustawienia

Konto

Tutaj znajdziesz ogólne informacje o środowisku Okta, takie jak nazwa firmy, adres, kontakt do rozliczeń e-mail, kontakt techniczny e-mail oraz osoby, które powinny otrzymywać aktualizacje Okta i jakiego rodzaju aktualizacje Okta.

Pobrania

Tutaj możesz pobrać agenty Okta do synchronizacji Okta z innymi technologiami.

PreviousOkta Security NextSupabase Security

Last updated 1 month ago