Kaip saugiai tvarkyti failų įkėlimus?

Question

Accepted Answer

**Failų įkėlimai** yra dažna funkcija, bet reikšmingas saugos rizika — kenkėjiški failai gali sukelti kodo vykdymą, kenkmalės platinimą ar sistemos kompromitavimą. Įkėlimų užsaugojimas reikalauja patikrinti failų tipus, dydžius ir turinį, saugiai saugoti failus ir atidžiai juos pateikti.

## Failų įkėlimų rizikos

```text
Allowing users to upload files is dangerous if not secured:
  ✗ MALICIOUS executable/script files → could run on the server (e.g. uploading a web
    shell / script that gets executed → server compromise)
  ✗ MALWARE distribution (files served to other users)
  ✗ Oversized files → denial of service (disk/memory exhaustion)
  ✗ Path traversal in filenames (../../) → overwrite system files
  ✗ Files with misleading types/content (a .jpg that's actually a script)
```

## Failų įkėlimų užsaugojimas

```text
✓ VALIDATE file TYPE → check the actual CONTENT/MIME (not just the extension, which lies);
  ALLOWLIST permitted types (don't blocklist); reject everything else
✓ LIMIT file SIZE → prevent resource exhaustion (max upload size)
✓ Don't execute uploads → store OUTSIDE the web root; never serve from an executable
  directory; serve via a handler (not directly executable)
✓ RENAME files (random/generated names) → avoid path traversal and overwrites; sanitize
  filenames
✓ SCAN for malware where appropriate; set correct Content-Type/Content-Disposition when serving
✓ Use separate storage/domain or object storage (S3) for user files; access controls
```

## Kodėl tai svarbu

Saugaus failų įkėlimo tvarkymo supratimas yra svarbus, nes **failų įkėlimai yra dažna funkcija su reikšminga saugos rizika**, todėl jų saugus tvarkymas yra būtinas, todėl tai yra vertinga praktinė saugos žinojimas.

Leidžiant vartotojams įkelti failus, iškyla rimtos pavojus: **kenkėjiški vykdomieji/scenarijų failai**, kurie galėtų veikti serveryje (pavyzdžiui, žiniatinklio apvalklas, vedantis į visišką serverio kompromitavimą — rimta rizika), kenkmalės platinimas kitiems vartotojams, paslaugos nepasiekiamumas dėl per didelių failų, **kelio peršokimas** failų varduose (sistemos failų perrašymas) ir failai su klaidingais tipais (.jpg, kuris iš tikrųjų yra scenarijus).

Tai daro neapsaugotus failų įkėlimus pavojinga, dažnai išnaudojama funkcija.

Supratimas, kaip **apsaugoti įkėlimus**, yra pagrindinė praktinė žinojimo sritis: **failų tipo patikrinimas pagal tikrąjį turinį/MIME** (ne tik pagal plėtinį, kuris gali būti klaidus) ir **leistinų tipų sąrašas**, **failų dydžio apribojimas** (apsaugojimas nuo išteklių išnaudojimo), kritiškai **nevykdyti įkėlimų** (jų saugojimas už žiniatinklio šaknies ir niekada jų neparodymas iš vykdomojo direktorijaus — apsaugojimas nuo pavojingo kodo vykdymo scenarijaus), **failų pervardijimas** su sugeneruotais vardais ir failų vardų sanitizavimas (apsaugojimas nuo kelio peršokimo ir perrašymo), kenkmalės skenavimas kur reikalinga, tinkamų turinio tipų nustatymas pateikiant, ir atskiro saugojimo (pavyzdžiui, objektų saugojimo) naudojimas su prieigos valdymu.

Šios priemonės sprendžia konkrečias failų įkėlimų rizikas.

Kadangi failų įkėlimai yra dažna funkcija su reikšminga, rimta rizika (ypač serverio kompromitavimas per vykdomus įkėlimus) ir jų apsaugojimas reikalauja konkrečių priemonių (tipo/dydžio patikrinimo, nevykdomojo saugojimo, pervardijimo, atidžaus pateikimo), ir kadangi šios žinojimas yra būtinas bet kuriai programai su įkėlimais, saugaus failų įkėlimo tvarkymo supratimas yra vertinga, praktiškai aktuali saugos žinojimas — svarbus dažnai naudojamai, rizikingai failų įkėlimo funkcijai, sprendžiant rimtas pažeidžiamumas (kodo vykdymą, kelio peršokimą, DoS) su konkrečia apsauga, ir būtina žinojimas bet kuriam kūrėjui, kuris kuria įkėlimo funkcionavimą.