Hvordan håndterer du fil-uploads på en sikker måde?

Question

Accepted Answer

**Fil-uploads** er en almindelig funktion, men udgør en betydelig sikkerhedsrisiko — ondsindet software kan føre til kodeudførelse, malware-distribution eller systemkompromittering. Sikring af uploads kræver validering af filtyper, størrelser og indhold, sikker lagring af filer og forsigtig betjening af dem.

## Risikiene ved fil-uploads

```text
Allowing users to upload files is dangerous if not secured:
  ✗ MALICIOUS executable/script files → could run on the server (e.g. uploading a web
    shell / script that gets executed → server compromise)
  ✗ MALWARE distribution (files served to other users)
  ✗ Oversized files → denial of service (disk/memory exhaustion)
  ✗ Path traversal in filenames (../../) → overwrite system files
  ✗ Files with misleading types/content (a .jpg that's actually a script)
```

## Sikring af fil-uploads

```text
✓ VALIDATE file TYPE → check the actual CONTENT/MIME (not just the extension, which lies);
  ALLOWLIST permitted types (don't blocklist); reject everything else
✓ LIMIT file SIZE → prevent resource exhaustion (max upload size)
✓ Don't execute uploads → store OUTSIDE the web root; never serve from an executable
  directory; serve via a handler (not directly executable)
✓ RENAME files (random/generated names) → avoid path traversal and overwrites; sanitize
  filenames
✓ SCAN for malware where appropriate; set correct Content-Type/Content-Disposition when serving
✓ Use separate storage/domain or object storage (S3) for user files; access controls
```

## Hvorfor det er vigtigt

At forstå sikker håndtering af fil-uploads er vigtig, fordi **fil-uploads er en almindelig funktion med betydelige sikkerhedsrisici**, så sikker håndtering af dem er væsentlig, hvilket gør denne værdifuld praktisk sikkerhedsviden.

At tillade brugere at uploade filer introducerer alvorlige farer: **ondsindet eksekverbar/scriptfiler**, der kunne køre på serveren (som en web shell, der fører til fuldstændig serverkompromittering — en alvorlig risiko), malware-distribution til andre brugere, denial of service fra oversized filer, **path traversal** i filnavne (overskriving af systemfiler) og filer med vildledende typer (en .jpg, der faktisk er et script).

Disse gør usikrede fil-uploads til en farlig, almindeligt udnyttet funktion.

At forstå hvordan man **sikrer uploads** er vigtig praktisk viden: **validering af filtype efter faktisk indhold/MIME** (ikke bare filendelsen, som kan være forkert) og **allowlisting** af tilladte typer, **begrænsning af filstørrelse** (forebyggelse af ressourcetømning), afgørende **ikke udførelse af uploads** (lagring uden for webroot og aldrig betjening fra en eksekverbar mappe — forebyggelse af det farlige kodeudførelsesscenario), **omdøbning af filer** med genererede navne og rensning af filnavne (forebyggelse af path traversal og overskrivninger), scanning for malware hvor det er relevant, indstilling af korrekte indholdstypeer ved betjening og brug af separat lagring (som objekt storage) med adgangskontroller.

Disse tiltag håndterer de specifikke risici ved uploads.