¿Cómo manejas las cargas de archivos de forma segura?

Question

Accepted Answer

**Las cargas de archivos** son una función común pero un riesgo de seguridad significativo — los archivos maliciosos pueden llevar a la ejecución de código, distribución de malware o compromiso del sistema. Asegurar las cargas requiere validar tipos de archivo, tamaños y contenido, almacenar archivos de forma segura y servirlos cuidadosamente.

## Los riesgos de las cargas de archivos

```text
Allowing users to upload files is dangerous if not secured:
  ✗ MALICIOUS executable/script files → could run on the server (e.g. uploading a web
    shell / script that gets executed → server compromise)
  ✗ MALWARE distribution (files served to other users)
  ✗ Oversized files → denial of service (disk/memory exhaustion)
  ✗ Path traversal in filenames (../../) → overwrite system files
  ✗ Files with misleading types/content (a .jpg that's actually a script)
```

## Por qué es importante

Comprender el manejo seguro de cargas de archivos es importante porque **las cargas de archivos son una función común con riesgos de seguridad significativos**, por lo que manejarlas de forma segura es esencial, lo que hace que este sea conocimiento de seguridad práctica valiosa.

Permitir a los usuarios cargar archivos introduce peligros graves: **archivos ejecutables/script maliciosos** que podrían ejecutarse en el servidor (como un web shell que lleva al compromiso total del servidor — un riesgo grave), distribución de malware a otros usuarios, denegación de servicio por archivos sobredimensionados, **path traversal** en nombres de archivo (sobrescritura de archivos del sistema) y archivos con tipos engañosos (un .jpg que en realidad es un script).

Estos hacen que las cargas de archivos no aseguradas sean una función peligrosa y comúnmente explotada.

Comprender cómo **asegurar cargas** es el conocimiento práctico clave: **validar el tipo de archivo por contenido/MIME real** (no solo la extensión, que puede mentir) y **permitir lista** de tipos permitidos, **limitar el tamaño del archivo** (previniendo agotamiento de recursos), crucialmente **no ejecutar cargas** (almacenarlas fuera de la raíz web y nunca servidas desde un directorio ejecutable — previniendo el peligroso escenario de ejecución de código), **renombrar archivos** con nombres generados y desinfectar nombres de archivo (previniendo path traversal y sobrescrituras), escanear malware donde sea apropiado, establecer tipos de contenido correctos al servir, y usar almacenamiento separado (como object storage) con controles de acceso.

Estas medidas abordan los riesgos específicos de las cargas.

## Asegurar cargas de archivos

```text
✓ VALIDATE file TYPE → check the actual CONTENT/MIME (not just the extension, which lies);
  ALLOWLIST permitted types (don't blocklist); reject everything else
✓ LIMIT file SIZE → prevent resource exhaustion (max upload size)
✓ Don't execute uploads → store OUTSIDE the web root; never serve from an executable
  directory; serve via a handler (not directly executable)
✓ RENAME files (random/generated names) → avoid path traversal and overwrites; sanitize
  filenames
✓ SCAN for malware where appropriate; set correct Content-Type/Content-Disposition when serving
✓ Use separate storage/domain or object storage (S3) for user files; access controls
```