Okta Hardening

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
Adquira o swag oficial PEASS & HackTricks
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe seus truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

Diretório

Pessoas

Do ponto de vista de um atacante, isso é super interessante, pois você poderá ver todos os usuários registrados, seus endereços de e-mail, os grupos dos quais fazem parte, perfis e até mesmo dispositivos (celulares juntamente com seus sistemas operacionais).

Para uma revisão de caixa branca, verifique se não há vários "Pending user action" e "Password reset".

Grupos

Aqui é onde você encontra todos os grupos criados no Okta. É interessante entender os diferentes grupos (conjunto de permissões) que podem ser concedidos aos usuários. É possível ver as pessoas incluídas nos grupos e os aplicativos atribuídos a cada grupo.

Obviamente, qualquer grupo com o nome de admin é interessante, especialmente o grupo Global Administrators, verifique os membros para saber quem são os membros mais privilegiados.

De uma revisão de caixa branca, não deve haver mais de 5 administradores globais (melhor se houver apenas 2 ou 3).

Dispositivos

Encontre aqui uma lista de todos os dispositivos de todos os usuários. Você também pode ver se está sendo gerenciado ativamente ou não.

Editor de Perfil

Aqui é possível observar como informações-chave como nomes, sobrenomes, e-mails, nomes de usuários... são compartilhados entre o Okta e outros aplicativos. Isso é interessante porque se um usuário puder modificar no Okta um campo (como seu nome ou e-mail) que é então usado por um aplicativo externo para identificar o usuário, um insider poderia tentar assumir outras contas.

Além disso, no perfil Usuário (padrão) do Okta, você pode ver quais campos cada usuário possui e quais são graváveis pelos usuários. Se você não consegue ver o painel de administração, basta ir para atualizar suas informações de perfil e você verá quais campos você pode atualizar (observe que para atualizar um endereço de e-mail você precisará verificá-lo).

Integrações de Diretório

Os diretórios permitem importar pessoas de fontes existentes. Acho que aqui você verá os usuários importados de outros diretórios.

Não vi, mas acredito que seja interessante descobrir outros diretórios que o Okta está usando para importar usuários para que, se você comprometer esse diretório, possa definir alguns valores de atributos nos usuários criados no Okta e talvez comprometer o ambiente do Okta.

Fontes de Perfil

Uma fonte de perfil é um aplicativo que atua como fonte de verdade para os atributos do perfil do usuário. Um usuário só pode ser originado por um único aplicativo ou diretório por vez.

Não vi, então qualquer informação sobre segurança e hacking relacionada a essa opção é apreciada.

Personalizações

Marcas

Verifique na guia Domínios desta seção os endereços de e-mail usados para enviar e-mails e o domínio personalizado dentro do Okta da empresa (que você provavelmente já conhece).

Além disso, na guia Configuração, se você for administrador, pode "Usar uma página de logout personalizada" e definir uma URL personalizada.

SMS

Nada interessante aqui.

Painel do Usuário Final

Você pode encontrar aqui aplicativos configurados, mas veremos os detalhes deles mais tarde em uma seção diferente.

Outros

Configuração interessante, mas nada super interessante do ponto de vista da segurança.

Aplicativos

Aqui você pode encontrar todos os aplicativos configurados e seus detalhes: Quem tem acesso a eles, como está configurado (SAML, OPenID), URL para login, os mapeamentos entre o Okta e o aplicativo...

Na guia Login também há um campo chamado Revelar senha que permitiria a um usuário revelar sua senha ao verificar as configurações do aplicativo. Para verificar as configurações de um aplicativo no Painel do Usuário, clique nos 3 pontos:

E você poderia ver mais detalhes sobre o aplicativo (como o recurso de revelação de senha, se estiver ativado):

Governança de Identidade

Certificações de Acesso

Use as Certificações de Acesso para criar campanhas de auditoria para revisar periodicamente o acesso dos seus usuários aos recursos e aprovar ou revogar o acesso automaticamente quando necessário.

Não vi isso sendo usado, mas acredito que do ponto de vista defensivo seja um recurso interessante.

Segurança

Geral

E-mails de notificação de segurança: Todos devem estar habilitados.
Integração CAPTCHA: É recomendável definir pelo menos o reCaptcha invisível
Segurança da Organização: Tudo pode ser habilitado e os e-mails de ativação não devem durar muito tempo (7 dias está ok)
Prevenção de enumeração de usuários: Ambos devem estar habilitados
Observe que a Prevenção de Enumeração de Usuários não tem efeito se uma das seguintes condições forem permitidas (Consulte Gerenciamento de Usuários para mais informações):
Registro de Autoatendimento
Fluxos JIT com autenticação por e-mail
Configurações do Okta ThreatInsight: Registrar e impor segurança com base no nível de ameaça

HealthInsight

Aqui é possível encontrar configurações corretas e perigosas configuradas.

Autenticadores

Aqui você pode encontrar todos os métodos de autenticação que um usuário poderia usar: Senha, telefone, e-mail, código, WebAuthn... Clicando no autenticador de Senha, você pode ver a política de senha. Verifique se é forte.

Na guia Inscrição você pode ver quais são os obrigatórios ou opcionais:

É recomendável desativar o Telefone. Os mais fortes provavelmente são uma combinação de senha, e-mail e WebAuthn.

Políticas de Autenticação

Cada aplicativo tem uma política de autenticação. A política de autenticação verifica se os usuários que tentam entrar no aplicativo atendem a condições específicas e impõe requisitos de fator com base nessas condições.

Aqui você pode encontrar os requisitos para acessar cada aplicativo. É recomendável solicitar pelo menos senha e outro método para cada aplicativo. Mas se como atacante você encontrar algo mais fraco, talvez consiga atacá-lo.

Política de Sessão Global

Aqui você pode encontrar as políticas de sessão atribuídas a diferentes grupos. Por exemplo:

É recomendado solicitar MFA, limitar o tempo de vida da sessão para algumas horas, não persistir cookies de sessão em extensões de navegador e limitar a localização e o Provedor de Identidade (se isso for possível). Por exemplo, se todo usuário deve fazer login a partir de um país, você poderia permitir apenas essa localização.

Provedores de Identidade

Os Provedores de Identidade (IdPs) são serviços que gerenciam contas de usuário. Adicionar IdPs no Okta permite que seus usuários finais se registrem em suas aplicações personalizadas autenticando primeiro com uma conta social ou um cartão inteligente.

Na página de Provedores de Identidade, você pode adicionar logins sociais (IdPs) e configurar o Okta como um provedor de serviços (SP) adicionando SAML de entrada. Após adicionar IdPs, você pode configurar regras de roteamento para direcionar usuários para um IdP com base no contexto, como a localização do usuário, dispositivo ou domínio de e-mail.

Se algum provedor de identidade estiver configurado do ponto de vista de atacantes e defensores, verifique essa configuração e se a fonte é realmente confiável, pois um atacante que comprometer isso também poderá obter acesso ao ambiente do Okta.

Autenticação Delegada

A autenticação delegada permite que os usuários façam login no Okta inserindo credenciais para o Active Directory (AD) ou servidor LDAP de sua organização.

Novamente, verifique isso, pois um atacante que comprometer o AD de uma organização poderá conseguir acessar o Okta graças a essa configuração.

Rede

Uma zona de rede é um limite configurável que você pode usar para conceder ou restringir acesso a computadores e dispositivos em sua organização com base no endereço IP que está solicitando acesso. Você pode definir uma zona de rede especificando um ou mais endereços IP individuais, intervalos de endereços IP ou localizações geográficas.

Após definir uma ou mais zonas de rede, você pode usá-las em Políticas de Sessão Global, políticas de autenticação, notificações VPN e regras de roteamento.

Do ponto de vista de atacantes, é interessante saber quais IPs são permitidos (e verificar se algum IP é mais privilegiado que outros). Do ponto de vista de atacantes, se os usuários devem acessar de um endereço IP ou região específicos, verifique se esse recurso está sendo usado corretamente.

Integrações de Dispositivos

Gerenciamento de Endpoints: O gerenciamento de endpoints é uma condição que pode ser aplicada em uma política de autenticação para garantir que dispositivos gerenciados tenham acesso a uma aplicação.
Ainda não vi isso sendo usado. A FAZER
Serviços de Notificação: Ainda não vi isso sendo usado. A FAZER

API

Você pode criar tokens de API do Okta nesta página e ver aqueles que foram criados, seus privilégios, tempo de expiração e URLs de Origem. Observe que os tokens de API são gerados com as permissões do usuário que criou o token e são válidos apenas se o usuário que os criou estiver ativo.

Os Origens Confiáveis concedem acesso a sites que você controla e confia para acessar sua organização Okta por meio da API do Okta.

Não deve haver muitos tokens de API, pois se houver, um atacante poderia tentar acessá-los e usá-los.

Fluxo de Trabalho

Automações

As automações permitem que você crie ações automatizadas que são executadas com base em um conjunto de condições de gatilho que ocorrem durante o ciclo de vida dos usuários finais.

Por exemplo, uma condição poderia ser "Inatividade do usuário no Okta" ou "Expiração da senha do usuário no Okta" e a ação poderia ser "Enviar e-mail para o usuário" ou "Alterar o estado do ciclo de vida do usuário no Okta".

Relatórios

Baixe logs. Eles são enviados para o endereço de e-mail da conta atual.

Log do Sistema

Aqui você pode encontrar os logs das ações realizadas pelos usuários com muitos detalhes, como login no Okta ou em aplicações por meio do Okta.

Monitoramento de Importação

Isso pode importar logs de outras plataformas acessadas com o Okta.

Limites de Taxa

Verifique os limites de taxa da API atingidos.

Configurações

Conta

Aqui você pode encontrar informações genéricas sobre o ambiente do Okta, como o nome da empresa, endereço, contato de faturamento por e-mail, contato técnico por e-mail e também quem deve receber atualizações do Okta e que tipo de atualizações do Okta.

Downloads

Aqui você pode baixar agentes do Okta para sincronizar o Okta com outras tecnologias.

AnteriorOkta Security SiguienteSupabase Security

Última actualización hace 1 mes