Kako sigurno rukovati učitavanjem datoteka?

Question

Accepted Answer

**Učitavanje datoteka** je česta značajka, ali znatan sigurnosni rizik — zlonamjerne datoteke mogu dovesti do izvršavanja koda, distribucije zlonamjernog softvera ili kompromitacije sustava. Osiguranje učitavanja zahtijeva validaciju vrsta datoteka, veličina i sadržaja, sigurno pohranjivanje datoteka i pažljivo njihovo dostavljanje.

## Rizici učitavanja datoteka

```text
Allowing users to upload files is dangerous if not secured:
  ✗ MALICIOUS executable/script files → could run on the server (e.g. uploading a web
    shell / script that gets executed → server compromise)
  ✗ MALWARE distribution (files served to other users)
  ✗ Oversized files → denial of service (disk/memory exhaustion)
  ✗ Path traversal in filenames (../../) → overwrite system files
  ✗ Files with misleading types/content (a .jpg that's actually a script)
```

## Osiguranje učitavanja datoteka

```text
✓ VALIDATE file TYPE → check the actual CONTENT/MIME (not just the extension, which lies);
  ALLOWLIST permitted types (don't blocklist); reject everything else
✓ LIMIT file SIZE → prevent resource exhaustion (max upload size)
✓ Don't execute uploads → store OUTSIDE the web root; never serve from an executable
  directory; serve via a handler (not directly executable)
✓ RENAME files (random/generated names) → avoid path traversal and overwrites; sanitize
  filenames
✓ SCAN for malware where appropriate; set correct Content-Type/Content-Disposition when serving
✓ Use separate storage/domain or object storage (S3) for user files; access controls
```

## Zašto je to važno

Razumijevanje sigurnog rukovanja učitavanjem datoteka je važno jer su **učitavanja datoteka česta značajka sa značajnim sigurnosnim rizicima**, pa je sigurno rukovanje njima neophodno, što čini ovo dragocjenim praktičkim znanjem o sigurnosti.

Dozvoljavanje korisnicima da učitavaju datoteke uvodi ozbiljne opasnosti: **zlonamjerne izvršive/skriptne datoteke** koje bi se mogle izvršiti na serveru (kao što je web shell koji vodi do potpune kompromitacije servera — ozbiljan rizik), distribucija zlonamjernog softvera drugim korisnicima, uskraćivanje usluge zbog prevelikih datoteka, **prelazak putanje** u nazivima datoteka (prebrisavanje sistemskih datoteka), i datoteke sa obmanjujućim vrstama (.jpg koja je zapravo skripta).

Ovo čini nezaštićena učitavanja datoteka opasnom, često zloupotrebljavanom značajkom.

Razumijevanje kako **osigurati učitavanja** je ključno praktičko znanje: **validacija vrste datoteke prema stvarnom sadržaju/MIME** (ne samo prema nastavku, koji može biti lažan) i **popis dozvola** dozvoljenih vrsta, **ograničavanje veličine datoteke** (sprječavanje iscrpljivanja resursa), ključno **neizvršavanje učitavanja** (pohrana izvan web korijena i nikada dostavljanje iz izvršivog direktorija — sprječavanje opasnog scenarija izvršavanja koda), **preimenovanje datoteka** s generiranim nazivima i sanitiziranje nazivima datoteka (sprječavanje prelaska putanje i prebrisavanja), skeniranje zlonamjernog softvera gdje je primjenjivo, postavljanje ispravnih vrsta sadržaja pri dostavljanju, i korištenje odvojene pohrane (kao što je pohrana objekata) s kontrolama pristupa.

Ove mjere rješavaju specifične rizike učitavanja.

Budući da su učitavanja datoteka česta značajka sa značajnim, ozbiljnim rizicima (posebno kompromitacija servera preko izvršivog učitavanja) i osiguranje njih zahtijeva specifične mjere (validacija vrste/veličine, pohrana koja se ne izvršava, preimenovanje, pažljivo dostavljanje), i budući da je razumijevanje toga neophodno za bilo koju aplikaciju s učitavanjima, razumijevanje sigurnog rukovanja učitavanjem datoteka je dragocjeno, praktički relevantno znanje o sigurnosti — važno za čestim, rizičnim značajkom učitavanja datoteka, rješavanjem ozbiljnih ranjivosti (izvršavanje koda, prelazak putanje, uskraćivanje usluge) sa specifičnom zaštitom, i bitnim znanjem za bilo kojeg razvojnog inženjera koji gradi funkcionalnost učitavanja.