Over-posting in ASP.NET Core application A security vulnerability

ASP.NET Core वेबएप्लिकेशन में ओवर-पोस्टिंग (Overposting)

ओवर-पोस्टिंग (Overposting) एक सिक्योरिटी वल्नरेबिलिटी (security vulnerability) है, जो तब होती है जब क्लाइंट से आने वाले डेटा में अप्रत्याशित या अनचाही प्रॉपर्टीज़ भी बाइंड हो जाती हैं और उन्हें सर्वर पर अपडेट या सेव कर दिया जाता है।

थोड़ा आसान भाषा में समझें — ओवर-पोस्टिंग का मतलब है:

यूज़र को जो डेटा अपडेट करने की अनुमति होनी चाहिए, उससे ज़्यादा डेटा सर्वर पर अपडेट हो जाना।"

एक उदाहरण से समझें (Without Protection)

मान लीजिए आपके पास एक मॉडल है:

public class User
{
    public int Id { get; set; }
    public string Username { get; set; }
    public string Email { get; set; }
    public bool IsAdmin { get; set; } // Should only be modified by admins
}

अब यदि आप कोई ऐसा कोड लिखते हैं:

[HttpPost]
public IActionResult Edit(User user)
{
    _dbContext.Users.Update(user);
    _dbContext.SaveChanges();
    return RedirectToAction("Index");
}

अगर कोई user ऐसा फॉर्म सबमिट कर दे:

POST /user/edit
Content-Type: application/x-www-form-urlencoded
Id=1&Username=abc&Email=abc@example.com&IsAdmin=true

तो क्लाइंट ने IsAdmin=true भेज दिया — और क्योंकि आपने पूरे मॉडल को बाइंड किया है, IsAdmin प्रॉपर्टी भी अपडेट हो जाएगी! यह है ओवर-पोस्टिंग — एक आम यूज़र ने खुद को एडमिन बना लिया!

ओवर-पोस्टिंग कब-कब हो सकता है?

  • जब पूरे मॉडल को ऑटोमैटिकली बाइंड किया जाए ([FromForm], [FromBody], etc.)
  • जब ViewModel और Domain Model एक जैसे होते हैं (और separation नहीं होता)।
  • जब फॉर्म या JSON में कोई अतिरिक्त प्रॉपर्टी भेज दी जाए जो यूज़र को भेजनी नहीं चाहिए।
  • जब developer बिना सोचे-समझे Update() या Attach() जैसे मेथड्स यूज़ करता है।

ओवर-पोस्टिंग से बचने के उपाय

  • Bind attribute से बाइंडिंग सीमित करें:
    • public IActionResult Edit([Bind("Id, Username, Email")] User user)
  • ViewModel या DTO इस्तेमाल करें, जिसमें सिर्फ वही प्रॉपर्टी हो जो यूज़र से एक्सेप्ट करनी है।
  • Manually map करें:
    • var existingUser = _dbContext.Users.Find(userDto.Id);
existingUser.Username = userDto.Username;
existingUser.Email = userDto.Email;
  • Model Validation और Authorization filters लगाएँ।

निष्कर्ष (Summary)

ओवर-पोस्टिंग एक ऐसा दृश्य है जहाँ यूज़र "पर्दे के पीछे" से एक्स्ट्रा स्क्रिप्ट भेजकर डायरेक्टर की कुर्सी हथियाने की कोशिश करता है। ASP.NET Core का Model Binding सिस्टम बड़ा ताकतवर है, लेकिन "जिसे जितनी जिम्मेदारी मिले, उतनी ही शक्ति दी जानी चाहिए" — इस सिद्धांत पर चलें, और ओवर-पोस्टिंग से बचें।

@2025 Shribodh
Next:

टिप्पणियाँ

एक टिप्पणी भेजें

इस ब्लॉग से लोकप्रिय पोस्ट

Differences between in-process and out-of-process hosting models

ASP.NET Core: इन-प्रोसेस और आउट-ऑफ-प्रोसेस होस्टिंग मॉडल में अंतर ASP.NET Core में सेल्फ-होस्टिंग मॉडल और आउट-प्रोसेस होस्टिंग मॉडल दो अलग-अलग तरीके हैं जिनका उपयोग आप अपने वेब एप्लिकेशन को होस्ट करने के लिए कर सकते हैं। सेल्फ-होस्टिंग मॉडल सेल्फ-होस्टिंग मॉडल में, ASP.NET Core एप्लिकेशन अपने आप में एक वेब सर्वर की भूमिका निभाता है। इसका मतलब है कि एप्लिकेशन अपने आप HTTP रिक्वेस्ट को सीधे हैंडल करता है और उन्हें प्रोसेस करता है। सेल्फ-होस्टिंग के लिए Kestrel नामक एक क्रॉस-प्लेटफ़ॉर्म वेब सर्वर का उपयोग किया जाता है। आउट-प्रोसेस होस्टिंग मॉडल आउट-प्रोसेस होस्टिंग मॉडल में, ASP.NET Core एप्लिकेशन एक अलग प्रोसेस में चलता है, और एक बाहरी वेब सर्वर (जैसे कि आईआईएस या एनजिनएक्स) HTTP रिक्वेस्ट को प्राप्त करता है और उन्हें एप्लिकेशन को फॉरवर्ड करता है। इस मॉडल में, एप्लिकेशन और वेब सर्वर अलग-अलग प्रोसेस में चलते हैं। अब इनके बारे में विस्तार से समझते हैं - 1. इन-प्रोसेस होस्टिंग (In-Process Hosting) कार...
Read more »

Web Fundamental Concepts in Hindi for Beginners - FAQs with their Answers Part-1

List of Consolidated Questions Question 1. वेब एप्लीकेशन को होस्ट करने की आवश्यकता होती है जबकि डेस्कटॉप एप्लीकेशन के साथ ऐसा नहीं होता है ऐसा क्यों? Question 2. वेब एप्लीकेशन को होस्ट करने के लिए एक वेब सर्वर की जरूरत होती है क्यों? इसके अलावा वेब एप्लीकेशन को डाटाबेस सर्वर की भी आवश्यकता पड़ती है क्यों? Question 3. वेब सर्वर के अलावा और किन-किन प्रकार के सर्वर की आवश्यकता वेब एप्लीकेशन को पड़ती है? Question 4. एक वेब एप्लीकेशन को एक से अधिक सर्वर पर कई बार क्यों होस्ट किया जाता है? Question 5. वेब एप्लीकेशन और वेब सेवा में क्या अंतर है या दोनों एक ही चीज है? Question 6. क्या यह सच है कि एक वेब एप्लीकेशन एक या एक से अधिक वेब सेवाओं का उपयोग कर सकता है? Question 7. वेब एप्लीकेशन के संदर्भ में गेटवे क्या होता है? Question 8. ...
Read more »

Introduction to ASP.NET Core and Web Frameworks

वेब एप्लीकेशन और .NET Core का परिचय वेब एप्लीकेशन हर जगह उपलब्ध हैं, चाहे वह सोशल मीडिया हो या आपका फ़ोन; हर जगह आपको वेब एप्लीकेशन दिखाई देंगे। वेब एप्लीकेशन के पीछे की दुनिया सर्वर की दुनिया है। सर्वर पर कोई वेब एप्लीकेशन होस्ट किया जाता है, तत्पश्चात वेब एप्लीकेशन रन होता है। .NET Core को आधुनिक युग की आवश्यकताओं के अनुसार डिज़ाइन किया गया है। चाहे कोई साधारण सा वेबसाइट हो या कोई जटिल ई-कॉमर्स एप्लीकेशन अथवा डिस्ट्रीब्यूटेड माइक्रो सर्विसेज, एक बार जब आप .NET Core सीख जाते हैं तो इस तरह के कोई भी एप्लीकेशन आप बना सकते हैं। अब सवाल है कि .NET Core क्या है? ASP.NET Core माइक्रोसॉफ्ट का नया वेब फ्रेमवर्क है जिसकी सहायता से विभिन्न प्रकार के वेब एप्लीकेशन को बनाना बहुत ही सरल है। माइक्रोसॉफ्ट ने ASP.NET Core को जून 2016 में रिलीज़ किया था। इसके बाद निरंतर माइक्रोसॉफ्ट की टीम ने .NET Core में सुधार करके या अपग्रेड करके बाजार में नए-नए वर्जन जारी किए हैं. वेब फ्रेमवर्क क्या है? ...
Read more »