Okta Güçlendirme

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Dizin

İnsanlar

Saldırganlar açısından bu, tüm kayıtlı kullanıcıları, e-posta adreslerini, katıldıkları grupları, profilleri ve hatta cihazları (mobil cihazlar ve işletim sistemleri) görebileceğiniz için oldukça ilginçtir.

Beyaz kutu incelemesi için, “Bekleyen kullanıcı eylemi” ve “Şifre sıfırlama” gibi birden fazla durumun olmadığından emin olun.

Gruplar

Burada Okta’da oluşturulan tüm grupları bulabilirsiniz. Kullanıcılara verilebilecek farklı grupların (izin setleri) anlaşılması ilginçtir.
Gruplara dahil olan kişileri ve her gruba atanan uygulamaları görebilirsiniz.

Elbette, admin ismine sahip herhangi bir grup ilginçtir, özellikle Küresel Yöneticiler grubu, en ayrıcalıklı üyelerin kimler olduğunu öğrenmek için üyeleri kontrol edin.

Beyaz kutu incelemesinden, 5’ten fazla küresel yönetici olmamalıdır (en iyisi sadece 2 veya 3 olmasıdır).

Cihazlar

Burada tüm kullanıcıların tüm cihazlarının listesini bulabilirsiniz. Ayrıca, bunun aktif olarak yönetilip yönetilmediğini de görebilirsiniz.

Profil Düzenleyici

Burada, adlar, soyadlar, e-postalar, kullanıcı adları gibi anahtar bilgilerin Okta ve diğer uygulamalar arasında nasıl paylaşıldığını gözlemlemek mümkündür. Bu ilginçtir çünkü bir kullanıcı Okta’da bir alanı (örneğin adı veya e-postası) değiştirebiliyorsa ve bu alan bir harici uygulama tarafından kullanılıyorsa, bir içeriden biri diğer hesapları ele geçirmeye çalışabilir.

Ayrıca, Okta’daki profil Kullanıcı (varsayılan) bölümünde her kullanıcının hangi alanlara sahip olduğunu ve hangilerinin kullanıcılar tarafından yazılabilir olduğunu görebilirsiniz. Yönetici panelini göremiyorsanız, profil bilgilerinizi güncellemek için gidin ve hangi alanları güncelleyebileceğinizi görün (bir e-posta adresini güncellemek için doğrulamanız gerektiğini unutmayın).

Dizin Entegrasyonları

Dizinler, mevcut kaynaklardan insanları içe aktarmanıza olanak tanır. Burada diğer dizinlerden içe aktarılan kullanıcıları göreceğinizi düşünüyorum.

Bunu görmedim, ama bu, Okta’nın kullanıcıları içe aktarmak için kullandığı diğer dizinleri bulmak için ilginçtir, böylece eğer o dizini tehlikeye atarsanız, Okta’da oluşturulan kullanıcıların bazı nitelik değerlerini ayarlayabilir ve belki de Okta ortamını tehlikeye atabilirsiniz.

Profil Kaynakları

Bir profil kaynağı, kullanıcı profil nitelikleri için gerçek kaynak olarak işlev gören bir uygulamadır. Bir kullanıcı yalnızca bir uygulama veya dizin tarafından bir kerede kaynaklanabilir.

Bunu görmedim, bu seçenekle ilgili güvenlik ve hacking hakkında herhangi bir bilgi takdir edilir.

Özelleştirmeler

Markalar

Bu bölümün Alanlar sekmesinde, e-posta göndermek için kullanılan e-posta adreslerini ve şirketin Okta içindeki özel alanını kontrol edin (bunu muhtemelen zaten biliyorsunuzdur).

Ayrıca, Ayarlar sekmesinde, eğer yöneticiyseniz, “Özel bir çıkış sayfası kullanın” seçeneğini işaretleyebilir ve özel bir URL ayarlayabilirsiniz.

SMS

Burada ilginç bir şey yok.

Son Kullanıcı Gösterge Tablosu

Burada yapılandırılmış uygulamaları bulabilirsiniz, ancak bunların ayrıntılarını daha sonra farklı bir bölümde göreceğiz.

Diğer

İlginç bir ayar, ancak güvenlik açısından süper ilginç bir şey yok.

Uygulamalar

Uygulamalar

Burada tüm yapılandırılmış uygulamaları ve ayrıntılarını bulabilirsiniz: Kimlerin bunlara erişimi var, nasıl yapılandırılmış (SAML, OpenID), giriş URL’si, Okta ile uygulama arasındaki eşlemeler…

Oturum Açma sekmesinde, uygulama ayarlarını kontrol ederken bir kullanıcının şifresini açığa çıkarmasına izin veren Şifreyi göster adında bir alan da bulunmaktadır. Kullanıcı Panelinden bir uygulamanın ayarlarını kontrol etmek için 3 noktaya tıklayın:

Ve uygulama hakkında daha fazla ayrıntı görebilirsiniz (şifreyi gösterme özelliği gibi, eğer etkinse):

Kimlik Yönetimi

Erişim Sertifikaları

Erişim Sertifikalarını kullanarak kullanıcılarınızın kaynaklara erişimini periyodik olarak gözden geçirmek ve gerektiğinde erişimi otomatik olarak onaylamak veya iptal etmek için denetim kampanyaları oluşturun.

Bunu kullanıldığını görmedim, ama savunma açısından güzel bir özellik olduğunu düşünüyorum.

Güvenlik

Genel

  • Güvenlik bildirim e-postaları: Hepsi etkin olmalıdır.
  • CAPTCHA entegrasyonu: En azından görünmez reCaptcha ayarlamak önerilir.
  • Organizasyon Güvenliği: Her şey etkinleştirilebilir ve aktivasyon e-postalarının uzun sürmemesi gerekir (7 gün yeterlidir).
  • Kullanıcı numaralandırma önleme: Her ikisi de etkin olmalıdır.
  • Kullanıcı Numaralandırma Önleme, aşağıdaki koşullardan biri izin verilirse etkili olmaz (daha fazla bilgi için Kullanıcı yönetimi bakın):
  • Kendinize hizmet kaydı
  • E-posta kimlik doğrulaması ile JIT akışları
  • Okta ThreatInsight ayarları: Tehdit seviyesine göre güvenliği kaydedin ve uygulayın.

HealthInsight

Burada doğru ve tehlikeli yapılandırılmış ayarları bulmak mümkündür.

Kimlik Doğrulayıcılar

Burada bir kullanıcının kullanabileceği tüm kimlik doğrulama yöntemlerini bulabilirsiniz: Şifre, telefon, e-posta, kod, WebAuthn… Şifre kimlik doğrulayıcısına tıkladığınızda şifre politikası görebilirsiniz. Güçlü olduğundan emin olun.

Kayıt sekmesinde, zorunlu veya isteğe bağlı olanları görebilirsiniz:

Telefonu devre dışı bırakmak önerilir. En güçlü olanlar muhtemelen şifre, e-posta ve WebAuthn kombinasyonudur.

Kimlik Doğrulama Politikaları

Her uygulamanın bir kimlik doğrulama politikası vardır. Kimlik doğrulama politikası, uygulamaya giriş yapmaya çalışan kullanıcıların belirli koşulları karşıladığını doğrular ve bu koşullara dayalı olarak faktör gereksinimlerini uygular.

Burada her uygulamaya erişim için gereksinimleri bulabilirsiniz. Her uygulama için en az bir şifre ve başka bir yöntem talep edilmesi önerilir. Ancak bir saldırgan olarak daha zayıf bir şey bulursanız, onu hedef alabilirsiniz.

Küresel Oturum Politikası

Burada farklı gruplara atanan oturum politikalarını bulabilirsiniz. Örneğin:

MFA talep edilmesi, oturum süresinin birkaç saatle sınırlanması, oturum çerezlerinin tarayıcı uzantıları arasında kalıcı olmaması ve konum ile Kimlik Sağlayıcısını (bu mümkünse) sınırlamak önerilir. Örneğin, her kullanıcının bir ülkeden giriş yapması gerekiyorsa, yalnızca bu konuma izin verebilirsiniz.

Kimlik Sağlayıcıları

Kimlik Sağlayıcıları (IdP’ler), kullanıcı hesaplarını yöneten hizmetlerdir. Okta’da IdP’ler eklemek, son kullanıcılarınızın sosyal bir hesap veya akıllı kart ile kimlik doğrulaması yaparak özel uygulamalarınıza kendilerini kaydetmelerini sağlar.

Kimlik Sağlayıcıları sayfasında, sosyal girişleri (IdP’ler) ekleyebilir ve Okta’yı bir hizmet sağlayıcı (SP) olarak yapılandırmak için içe aktarılan SAML ekleyebilirsiniz. IdP’leri ekledikten sonra, kullanıcıları bir IdP’ye yönlendirmek için bağlama dayalı yönlendirme kuralları ayarlayabilirsiniz; örneğin, kullanıcının konumu, cihazı veya e-posta alanı gibi.

Herhangi bir kimlik sağlayıcı yapılandırılmışsa, saldırganlar ve savunucular açısından bu yapılandırmayı kontrol edin ve kaynağın gerçekten güvenilir olup olmadığını kontrol edin, çünkü bir saldırgan bunu tehlikeye atarak Okta ortamına da erişim sağlayabilir.

Devredilmiş Kimlik Doğrulama

Devredilmiş kimlik doğrulama, kullanıcıların kuruluşlarının Active Directory (AD) veya LDAP sunucusu için kimlik bilgilerini girerek Okta’ya giriş yapmalarına olanak tanır.

Yine, bunu yeniden kontrol edin, çünkü bir saldırganın bir kuruluşun AD’sini tehlikeye atması, bu ayar sayesinde Okta’ya geçiş yapabilmesine neden olabilir.

Bir ağ bölgesi, erişimi vermek veya kısıtlamak için kullanabileceğiniz yapılandırılabilir bir sınırdır. Bu, erişim talep eden bilgisayarlar ve cihazlar için IP adresine dayalıdır. Bir veya daha fazla bireysel IP adresi, IP adresi aralığı veya coğrafi konum belirterek bir ağ bölgesi tanımlayabilirsiniz.

Bir veya daha fazla ağ bölgesi tanımladıktan sonra, bunları Küresel Oturum Politikalarında, kimlik doğrulama politikalarında, VPN bildirimlerinde ve yönlendirme kurallarında kullanabilirsiniz.

Saldırganlar açısından hangi IP’lerin izin verildiğini bilmek ilginçtir (ve herhangi bir IP’nin diğerlerinden daha ayrıcalıklı olup olmadığını kontrol edin). Saldırganlar açısından, kullanıcıların belirli bir IP adresinden veya bölgeden erişim sağlaması gerekiyorsa, bu özelliğin düzgün kullanıldığını kontrol edin.

Cihaz Entegrasyonları

  • Uç Nokta Yönetimi: Uç nokta yönetimi, yönetilen cihazların bir uygulamaya erişimini sağlamak için bir kimlik doğrulama politikasında uygulanabilecek bir koşuldur.
  • Bunu henüz görmedim. YAPILACAK
  • Bildirim hizmetleri: Bunu henüz görmedim. YAPILACAK

API

Bu sayfada Okta API jetonları oluşturabilir ve oluşturulan jetonları, yetkilerini, sona erme sürelerini ve Kaynak URL’lerini görebilirsiniz. API jetonları, jetonu oluşturan kullanıcının izinleriyle oluşturulur ve yalnızca oluşturan kullanıcı aktif olduğunda geçerlidir.

Güvenilir Kaynaklar, kontrol ettiğiniz ve Okta API’si aracılığıyla Okta organizasyonunuza erişim sağlamak için güvenilir olan web sitelerine erişim izni verir.

Çok fazla API jetonu olmamalıdır, çünkü eğer varsa bir saldırgan bunlara erişmeye ve kullanmaya çalışabilir.

İş Akışı

Otomasyonlar

Otomasyonlar, son kullanıcıların yaşam döngüsü sırasında meydana gelen bir dizi tetikleyici koşuluna dayalı olarak çalışan otomatik eylemler oluşturmanıza olanak tanır.

Örneğin, bir koşul “Okta’da kullanıcı etkinliği yok” veya “Okta’da kullanıcı şifresi süresi doldu” olabilir ve eylem “Kullanıcıya e-posta gönder” veya “Okta’da kullanıcı yaşam döngüsü durumunu değiştir” olabilir.

Raporlar

Raporlar

Günlükleri indirin. Bunlar, mevcut hesabın e-posta adresine gönderilir.

Sistem Günlüğü

Burada, kullanıcıların Okta’da veya Okta aracılığıyla uygulamalarda gerçekleştirdiği hareketlerin günlüklerini bulabilirsiniz.

İçe Aktarma İzleme

Bu, Okta ile erişilen diğer platformlardan günlükleri içe aktarabilir.

Hız limitleri

Ulaşılan API hız limitlerini kontrol edin.

Ayarlar

Hesap

Burada, şirket adı, adres, e-posta fatura iletişim kişisi, e-posta teknik iletişim kişisi gibi Okta ortamı hakkında genel bilgileri bulabilirsiniz ve ayrıca kimlerin Okta güncellemelerini alması gerektiğini ve hangi tür Okta güncellemeleri alacağını görebilirsiniz.

İndirmeler

Burada, Okta’yı diğer teknolojilerle senkronize etmek için Okta ajanlarını indirebilirsiniz.

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin