Internet Home Page Bringing True Journalism Without Fake News Program Bug Bounty OKTA

Program Bug Bounty OKTA

by Hairiman

Kami percaya partisipasi peneliti komunitas dan membangun fondasi yang aman memainkan peran integral dalam melindungi pelanggan kami dan data mereka. Kami menghargai semua pengiriman keamanan dan berusaha untuk menanggapi dengan cara yang bijaksana.

Okta adalah layanan identitas berbasis cloud yang menghubungkan orang ke aplikasi mereka dari perangkat apa pun, di mana saja, kapan saja. Okta Identity Cloud menyediakan layanan direktori, sistem masuk tunggal, otentikasi kuat, penyediaan, manajemen perangkat seluler, dan manajemen akses API. Muncul dengan pelaporan bawaan, dan terintegrasi secara mendalam dengan cloud, aplikasi mobile dan lokal, direktori dan sistem manajemen identitas.

Bonus Akhir Juli 2019 XSS

Okta akan menghargai lebih banyak uang tunai per bug untuk temuan XSS!

  • XSS yang tersimpan bernilai $ 2k
  • XSS yang direfleksikan bernilai $ 1,5k

Selamat berburu!

Target

Dalam lingkup

bugcrowd-%username%-1.oktapreview.comLain
bugcrowd-%username%-2.oktapreview.comLain
Okta Mobile MDM (iOS)iOS
Okta Mobile MDM (Android)Android
Okta Browser Plugin (IE / Firefox / Chrome)Lain
Okta Verify (iOS)iOS
Okta Verify (Android)Android

Pembuatan akun

Tangga

  • Untuk berpartisipasi dalam program karunia bug Okta, Anda harus memiliki akun Bugcrowd
  • Kunjungi Daftar Bugbounty Okta dan masukkan ID Bugcrowd Anda (nama pengguna)
  • Dua akun akan dibuat sebagai berikut: https://bugcrowd-username-1.oktapreview.com dan https://bugcrowd-username-2.oktapreview.com
  • Dua email akan dikirim ke alamat Bugcrowd Anda yang terdaftar

<harap dicatat bahwa jika Anda sebelumnya memiliki akun Okta melalui program pribadi, akun lama Anda akan tetap berfungsi (dan akibatnya, Anda mungkin tidak mendapatkan email untuk akun baru). Dengan demikian, Anda cukup menggunakan subdomain / kredensial lama / yang sudah ada / etc – silakan periksa riwayat surat Anda untuk informasi ini sebelum mengirim pesan ke support@bugcrowd.com>

Penguji Keamanan – ToDo

  • Ubah alamat email yang dikaitkan dengan pengguna yang disediakan sehingga Anda dapat menangani pengaturan ulang kata sandi Anda sendiri
  • Buat setidaknya 2 Admin lain di setiap ORG untuk mengatur ulang akun yang terkunci dan menangani masalah akun.

Area Fokus

Okta Expression Language 
LDAP sebagai
Kerentanan Protokol Otentikasi Layanan (mis. SAML , OAuth & OIDC , Auth Sosial ) 
XXE dalam jumlah besar data XML yang kami terima 
Plugin Browser Okta (IE / Firefox / Chrome) 
Cross-Org Access / Kerentanan Multi-Tenancy 
Eskalasi Privileged (Horisontal / Vertikal) 
Semua Agen di tempat (mis. LDAP / AD / OPP / Radius / RSA) 
Okta Mobile (iOS / Android) 
Okta Verifikasi (iOS / Android) 
XSS dan 10 Isu Teratas lainnya seperti Open Redirection dan CSRF pada tindakan halaman sensitif

Contoh Ilustrasi Pembayaran Bug

CONTOH JENIS KERENTANANCONTOH HADIAH
Full RCE [Dapatkan shell kembali dari jaringan kami]$ 15rb
Eskalasi Hak Istimewa Penuh dari satu Okta Org ke Okta Org lainnya$ 10k
Eskalasi Hak Istimewa Penuh dalam Okta Org yang sama$ 5k
XXE File lokal dibaca [Baca dan Exfiltrate data OOB]$ 5k
Bekerja Injeksi SQL$ 5k
OKTA SAML atau bug implementasi oAuth$ 5k
Kompromi Pengaya Peramban$ 1,5rb
Bekerja XSS (Mempengaruhi banyak pengguna)$ 1rb
Kerentanan Penting Aplikasi Seluler$ 1rb
Pemalsuan Permintaan Lintas Situs Admin (CSRF)$ 1K
Pemalsuan Permintaan Sisi-Server Lengkap (SSRF)$ 1K
Pemalsuan Permintaan Lintas Situs Pengguna (CSRF)$ 500
Buka Redirection$ 500
Keterbukaan Informasi Penting$ 500
XSS hanya memengaruhi pengguna saat ini (Self-XSS)$ 100
Pemalsuan Permintaan Sisi- Blind Server (SSRF)$ 100
Penjelajahan Paksa / Referensi Objek Langsung Tidak Aman / Melompat URL$ 100
Masalah Logika Bisnis (tulis / manipulasi)$ 100
Masalah Keamanan Lainnya$ 100

Di atas menguraikan pedoman untuk hadiah untuk kelas kerentanan khusus untuk properti dalam-lingkup (lihat bagian tentang Lingkup): Ingatlah bahwa tidak ada dua bug yang dibuat sama. Pembayaran ini menentukan pedoman umum dan tingkat kepentingan setiap kelas kerentanan. Tim Okta Security akan menentukan sifat dan dampak bug untuk mengidentifikasi pembayaran yang sesuai di sekitar pedoman ini.

Laporkan Kriteria

  • Dampak Bisnis (bagaimana ini memengaruhi Okta?)
  • Kualitas laporan
    • Langkah-langkah mereproduksi
    • Bukti kerja konsep
  • Dapat ditemukan (seberapa besar kemungkinan hal ini ditemukan)
  • Eksploitasi (seberapa besar kemungkinan ini akan dieksploitasi) # In-Scope / Out-of-Scope

Catatan: Apa pun yang tidak secara eksplisit didefinisikan In-Scope secara default Out-of-Scope

Item Dalam Lingkup

  • bugcrowd-% nama pengguna% -1.oktapreview.com
  • bugcrowd-% username% -2.oktapreview.com

Item Di Luar Lingkup

  • * .okta.com
  • * .trexcloud.com
  • halaman.okta.com
  • developer.okta.com
  • trust.okta.com
  • www.okta.com situs statis
  • Backend Okta infrastruktur non-aplikasi
  • Masalah lapisan jaringan
  • Apa pun yang tidak secara eksplisit disebut di atas sebagai dalam lingkup

Batasan

  • Tidak ada pemindaian otomatis
  • Tanpa DoS – Amazon melarang aktivitas ini dan pengujian cluster yang tidak diskalakan untuk serangan ini
  • Batasi Impor AD / LDAP untuk 1000 pengguna & grup

Jenis temuan berikut secara khusus dikecualikan dari karunia:

  • Kode / halaman HTTP 404 atau kode / halaman non-200 HTTP lainnya.
  • Pengungkapan sidik jari / spanduk pada layanan umum / publik.
  • Pengungkapan file atau direktori publik yang diketahui, (mis. Robots.txt).
  • Clickjacking dan masalah hanya bisa dieksploitasi melalui clickjacking.
  • CSRF pada formulir yang tersedia untuk pengguna anonim (mis. Login atau formulir kontak).
  • Logout Pemalsuan Permintaan Lintas Situs (logout CSRF).
  • Adanya fungsi aplikasi atau peramban web ‘autocomplete’ atau ‘save password’.
  • Kurangnya Security Speedbump ketika meninggalkan situs.
  • Tanpa Captcha / Lemah Captcha / Captcha Bypass
  • Masuk atau Lupa Kata Sandi halaman brute force dan penguncian akun tidak dipaksakan
  • Metode HTTP diaktifkan
    • PILIHAN, PUT, DAPATKAN, HAPUS, INFO
  • Pengungkapan Jenis WebServer
  • Rekayasa sosial dari meja layanan, karyawan, atau kontraktor kami
  • Serangan fisik terhadap kantor dan pusat data Okta
  • Pesan kesalahan dengan data yang tidak sensitif
  • Lapisan Penolakan Layanan atau DDoS non-aplikasi
  • Kurangnya HTTP Only / bendera AMAN untuk cookie
  • Enumerasi nama pengguna / email
    • melalui pesan kesalahan Halaman Login
    • melalui pesan kesalahan Lupa Kata Sandi
  • Header keamanan HTTP tidak ada, khususnya (https://www.owasp.org/index.php/List_of_useful_HTTP_headers), mis.
    • Ketat-Transport-Security
    • X-Frame-Options
    • X-XSS-Perlindungan
    • X-Content-Type-Options
    • Kebijakan-Konten-Keamanan, X-Kebijakan-Konten-Keamanan, X-WebKit-CSP
    • Konten-Keamanan-Kebijakan-Hanya-Laporan
  • Temuan Surat dan Domain SPF / DMARC / DKIM
  • Temuan DNSSEC
  • Masalah CSV
  • Pemindaian AV
  • Masalah SSL, misalnya
    • Serangan SSL seperti BEAST, BREACH, serangan negosiasi ulang
    • Kerahasiaan Penerusan SSL tidak diaktifkan
    • Suite sandi lemah / tidak aman SSL
  • Masalah Cookie
    • HTTPONLY
    • AMAN
    • beberapa pengaturan cookie
    • Ada hubungannya dengan JSESSIONID
  • Pembatasan Nilai Email atau Spam
  • Pembatasan Tarif Layanan
  • Enumerasi Pengguna atau Organisasi
  • Masalah Gambar Keamanan
  • Logika Bisnis Masalah BACA
    • EG Admin Apa pun dapat melihat pengguna, perangkat, atau mengunduh laporan Admin Seluler
    • EG Read-Only Admin dapat melihat log
    • EG Mobile Admin dapat melihat detail Pengguna Super

Informasi referensi

Okta Public API Referensi 
Okta Konfigurasi & Dukungan Situs 
Agen Iklan Agen 
Radius Agen 
LDAP Instalasi 
LDAP sebagai Layanan 
Desktop 
Plugin Browser SSO / IWA 
SAML 
OAuth & OIDC 
OAuth Tinjauan 
Sosial Auth

Silakan periksa Catatan Rilis saat ini untuk melihat apa yang baru. Kode baru dirilis setiap minggu.

Chaining Bugs

Rantai bug tidak disukai dengan cara apa pun, kami senang melihat rantai eksploitasi pintar! Namun, jika Anda telah berhasil mengkompromikan server yang dimiliki Okta, kami tidak memperbolehkan peningkatan seperti pemindaian port jaringan internal, upaya peningkatan hak istimewa, mencoba berporos ke sistem lain, dll. Jika Anda mendapatkan akses tingkat akses ke server ini, harap laporkan kepada kami dan kami akan membalas Anda dengan hadiah yang tepat dengan mempertimbangkan sepenuhnya keparahan dari apa yang bisa dilakukan. Memperoleh kerentanan CSRF dengan XSS mandiri? Bagus! Menggunakan kunci akses AWS untuk membuang informasi sensitif? Tidak keren.

Tidak yakin dengan vuln?

Kami mendasarkan semua pembayaran pada dampak – ketika ragu-ragu pertanyaan selalu berujung pada dampak (alias apa yang sebenarnya bisa dilakukan dengan kerentanan dan apa konsekuensi untuk Okta). Jika Anda dapat menunjukkan mengapa suatu temuan memiliki dampak yang signifikan, silakan kirimkan.

Sebagai contoh: Katakanlah Anda dapat, sebagai admin terbatas, melihat log yang tidak ada dalam peran pengguna Anda – Apa dampaknya? Jika ini memungkinkan Anda untuk berkompromi dengan hal lain, harap detail rantai eksploitasi dan laporan lengkap. Namun jika satu-satunya dampak adalah membaca log .. maka tidak perlu melaporkannya karena akan masuk dalam masalah – Logika Bisnis BACA masalah.

detil tambahan

Bug serupa

Bug dengan sifat atau akar penyebab yang sama yang dilaporkan oleh orang yang sama dapat digabungkan menjadi satu item, sehingga hanya merupakan satu penghargaan.

You may also like

Leave a Comment