Bagaimana cara menangani unggahan file dengan aman?

Question

Accepted Answer

**Unggahan file** adalah fitur umum tetapi risiko keamanan yang signifikan — file jahat dapat menyebabkan eksekusi kode, distribusi malware, atau kompromi sistem. Mengamankan unggahan memerlukan validasi jenis file, ukuran, dan konten, menyimpan file dengan aman, dan menyajikannya dengan hati-hati.

## Risiko unggahan file

```text
Allowing users to upload files is dangerous if not secured:
  ✗ MALICIOUS executable/script files → could run on the server (e.g. uploading a web
    shell / script that gets executed → server compromise)
  ✗ MALWARE distribution (files served to other users)
  ✗ Oversized files → denial of service (disk/memory exhaustion)
  ✗ Path traversal in filenames (../../) → overwrite system files
  ✗ Files with misleading types/content (a .jpg that's actually a script)
```

## Mengamankan unggahan file

```text
✓ VALIDATE file TYPE → check the actual CONTENT/MIME (not just the extension, which lies);
  ALLOWLIST permitted types (don't blocklist); reject everything else
✓ LIMIT file SIZE → prevent resource exhaustion (max upload size)
✓ Don't execute uploads → store OUTSIDE the web root; never serve from an executable
  directory; serve via a handler (not directly executable)
✓ RENAME files (random/generated names) → avoid path traversal and overwrites; sanitize
  filenames
✓ SCAN for malware where appropriate; set correct Content-Type/Content-Disposition when serving
✓ Use separate storage/domain or object storage (S3) for user files; access controls
```

## Mengapa ini penting

Memahami penanganan unggahan file yang aman sangat penting karena **unggahan file adalah fitur umum dengan risiko keamanan yang signifikan**, sehingga menanganinya dengan aman sangat penting, menjadikan ini pengetahuan keamanan praktis yang berharga.

Mengizinkan pengguna mengunggah file memperkenalkan bahaya serius: **file executable/script berbahaya** yang dapat berjalan di server (seperti web shell yang menyebabkan kompromi server penuh — risiko parah), distribusi malware kepada pengguna lain, denial of service dari file berukuran besar, **path traversal** dalam nama file (menimpa file sistem), dan file dengan jenis yang menyesatkan (file .jpg yang sebenarnya adalah script).

Ini membuat unggahan file yang tidak aman menjadi fitur yang berbahaya dan sering dieksploitasi.

Memahami cara **mengamankan unggahan** adalah pengetahuan praktis utama: **memvalidasi jenis file berdasarkan konten/MIME aktual** (bukan hanya ekstensi, yang bisa bohong) dan **allowlisting** jenis yang diizinkan, **membatasi ukuran file** (mencegah kelelahan sumber daya), secara krusial **tidak mengeksekusi unggahan** (menyimpan di luar root web dan tidak pernah melayani dari direktori yang dapat dieksekusi — mencegah skenario eksekusi kode yang berbahaya), **mengubah nama file** dengan nama yang dihasilkan dan membersihkan nama file (mencegah path traversal dan penimpa), memindai malware jika sesuai, menetapkan jenis konten yang benar saat menyajikan, dan menggunakan penyimpanan terpisah (seperti object storage) dengan kontrol akses.

Langkah-langkah ini mengatasi risiko spesifik unggahan.

Karena unggahan file adalah fitur umum dengan risiko yang signifikan dan parah (terutama kompromi server melalui unggahan executable) dan mengamankannya memerlukan langkah-langkah spesifik (validasi jenis/ukuran, penyimpanan non-executable, pengubahan nama, penyajian yang hati-hati), dan karena memahami ini sangat penting untuk aplikasi apa pun dengan unggahan, memahami penanganan unggahan file yang aman adalah pengetahuan keamanan yang berharga dan relevan secara praktis — penting untuk fitur unggahan yang umum dan berisiko, mengatasi kerentanan serius (eksekusi kode, path traversal, DoS) dengan pertahanan spesifik, dan pengetahuan penting bagi pengembang mana pun yang membangun fungsi unggahan.