Jak bezpečně zpracovávat nahrávání souborů?

Question

Accepted Answer

**Nahrávání souborů** je běžná funkce, ale představuje značné bezpečnostní riziko — škodlivé soubory mohou vést ke spuštění kódu, distribuci malwaru nebo ohrožení systému. Zabezpečení nahrávání vyžaduje ověření typů souborů, velikostí a obsahu, bezpečné ukládání souborů a jejich opatrné podávání.

## Rizika nahrávání souborů

```text
Allowing users to upload files is dangerous if not secured:
  ✗ MALICIOUS executable/script files → could run on the server (e.g. uploading a web
    shell / script that gets executed → server compromise)
  ✗ MALWARE distribution (files served to other users)
  ✗ Oversized files → denial of service (disk/memory exhaustion)
  ✗ Path traversal in filenames (../../) → overwrite system files
  ✗ Files with misleading types/content (a .jpg that's actually a script)
```

## Zabezpečení nahrávání souborů

```text
✓ VALIDATE file TYPE → check the actual CONTENT/MIME (not just the extension, which lies);
  ALLOWLIST permitted types (don't blocklist); reject everything else
✓ LIMIT file SIZE → prevent resource exhaustion (max upload size)
✓ Don't execute uploads → store OUTSIDE the web root; never serve from an executable
  directory; serve via a handler (not directly executable)
✓ RENAME files (random/generated names) → avoid path traversal and overwrites; sanitize
  filenames
✓ SCAN for malware where appropriate; set correct Content-Type/Content-Disposition when serving
✓ Use separate storage/domain or object storage (S3) for user files; access controls
```

## Proč je to důležité

Rozdílení bezpečného zpracování nahrávání souborů je důležité, protože **nahrávání souborů je běžná funkce se značnými bezpečnostními riziky**, takže jejich bezpečné zpracování je nezbytné, což činí tuto praktickou bezpečnostní znalost cennou.

Povolení uživatelům nahrávat soubory představuje vážná nebezpečí: **škodlivé spustitelné/skriptovací soubory**, které by mohly běžet na serveru (například web shell vedoucí k úplnému ohrožení serveru — závažné riziko), distribuce malwaru ostatním uživatelům, odmítnutí služby z předimenzovaných souborů, **path traversal** v názvech souborů (přepsání systémových souborů) a soubory s matoucím typem (.jpg, který je ve skutečnosti skript).

Tyto skutečnosti činí nezabezpečená nahrávání souborů nebezpečnou a běžně zneužívanou funkcí.

Pochopení, jak **zabezpečit nahrávání**, je klíčová praktická znalost: **ověřování typu souboru podle skutečného obsahu/MIME** (ne jen podle přípony, která může lhát) a **whitelistování** povolených typů, **omezování velikosti souboru** (prevence vyčerpání zdrojů), rozhodujícím způsobem **nespouštění nahrávání** (jejich ukládání mimo root webu a nikdy je nesiluetovat z spustitelného adresáře — prevence nebezpečného scénáře spuštění kódu), **přejmenování souborů** na generované názvy a sanitizace názvů souborů (prevence path traversal a přepsání), podle potřeby skenování malwaru, nastavení správných typů obsahu při podávání a použití samostatného úložiště (například object storage) s kontrolou přístupu.

Tato opatření řeší specifická rizika nahrávání.