Hoe handle je bestandsuploads veilig?

Question

Accepted Answer

**Bestandsuploads** zijn een veelgebruikte functie maar een significant veiligheidsrisico — kwaadaardige bestanden kunnen leiden tot code-uitvoering, verspreiding van malware, of systeemcompromittering. Het beveiligen van uploads vereist validatie van bestandstypen, -groottes en -inhoud, veilige opslag van bestanden, en voorzichtig serveren ervan.

## De risico's van bestandsuploads

```text
Allowing users to upload files is dangerous if not secured:
  ✗ MALICIOUS executable/script files → could run on the server (e.g. uploading a web
    shell / script that gets executed → server compromise)
  ✗ MALWARE distribution (files served to other users)
  ✗ Oversized files → denial of service (disk/memory exhaustion)
  ✗ Path traversal in filenames (../../) → overwrite system files
  ✗ Files with misleading types/content (a .jpg that's actually a script)
```

## Bestandsuploads beveiligen

```text
✓ VALIDATE file TYPE → check the actual CONTENT/MIME (not just the extension, which lies);
  ALLOWLIST permitted types (don't blocklist); reject everything else
✓ LIMIT file SIZE → prevent resource exhaustion (max upload size)
✓ Don't execute uploads → store OUTSIDE the web root; never serve from an executable
  directory; serve via a handler (not directly executable)
✓ RENAME files (random/generated names) → avoid path traversal and overwrites; sanitize
  filenames
✓ SCAN for malware where appropriate; set correct Content-Type/Content-Disposition when serving
✓ Use separate storage/domain or object storage (S3) for user files; access controls
```

## Waarom het belangrijk is

Het begrijpen van veilige bestandsuploadbehandeling is belangrijk omdat **bestandsuploads een veelgebruikte functie met aanzienlijke veiligheidsrisico's zijn**, dus het veilig afhandelen ervan is essentieel, wat deze waardevolle praktische beveiligingskennis maakt.

Het toestaan dat gebruikers bestanden uploaden, introduceert ernstige gevaren: **kwaadaardige uitvoerbare/scriptbestanden** die op de server kunnen worden uitgevoerd (zoals een webshell die leidt tot volledige servercompromittering — een ernstig risico), verspreiding van malware naar andere gebruikers, denial of service door oversized bestanden, **path traversal** in bestandsnamen (overschrijven van systeembestanden), en bestanden met misleidende types (een .jpg die eigenlijk een script is).

Deze maken onbeveiligde bestandsuploads een gevaarlijke, veelgebruikt kwetsbare functie.

Het begrijpen hoe je **uploads beveiligt** is de sleutel praktische kennis: **validatie van bestandstype door werkelijke inhoud/MIME** (niet alleen de extensie, die kan liegen) en **whitelist** van toegestane types, **limitering van bestandsgrootte** (voorkoming van resource-uitputting), cruciaal **geen uitvoering van uploads** (opslag buiten de webroot en nooit serveren vanuit een uitvoerbare directory — voorkoming van het gevaarlijke code-executiescenario), **hernoemen van bestanden** met gegenereerde namen en sanitizing van bestandsnamen (voorkoming van path traversal en overschrijvingen), scannen op malware waar passend, instellen van correcte content types bij serveren, en gebruik van aparte opslag (zoals objectopslag) met toegangscontroles.

Deze maatregelen behandelen de specifieke risico's van uploads.

Omdat bestandsuploads een veelgebruikte functie zijn met aanzienlijke, ernstige risico's (vooral servercompromittering via uitvoerbare uploads) en het beveiligen ervan specifieke maatregelen vereist (type/grootte-validatie, niet-uitvoerbare opslag, hernoemen, voorzichtig serveren), en omdat het begrijpen hiervan essentieel is voor elke applicatie met uploads, is het begrijpen van veilige bestandsuploadbehandeling waardevolle, praktisch relevante beveiligingskennis — belangrijk voor de veelgebruikte, risicovolle functie van bestandsuploads, het aanpakken van ernstige kwetsbaarheden (code-uitvoering, path traversal, DoS) met specifieke verdedigingen, en essentiële kennis voor elke ontwikkelaar die uploadfunctionaliteit bouwt.