Hur hanterar du filöverföringar på ett säkert sätt?

Question

Accepted Answer

**Filöverföringar** är en vanlig funktion men en betydande säkerrisik — skadliga filer kan leda till kodexekvering, skadvarudistribution eller systemkompromiss. För att säkra överföringar krävs validering av filtyper, storlekar och innehåll, säker lagring av filer och försiktig serving av dem.

## Riskerna med filöverföringar

```text
Allowing users to upload files is dangerous if not secured:
  ✗ MALICIOUS executable/script files → could run on the server (e.g. uploading a web
    shell / script that gets executed → server compromise)
  ✗ MALWARE distribution (files served to other users)
  ✗ Oversized files → denial of service (disk/memory exhaustion)
  ✗ Path traversal in filenames (../../) → overwrite system files
  ✗ Files with misleading types/content (a .jpg that's actually a script)
```

## Säkring av filöverföringar

```text
✓ VALIDATE file TYPE → check the actual CONTENT/MIME (not just the extension, which lies);
  ALLOWLIST permitted types (don't blocklist); reject everything else
✓ LIMIT file SIZE → prevent resource exhaustion (max upload size)
✓ Don't execute uploads → store OUTSIDE the web root; never serve from an executable
  directory; serve via a handler (not directly executable)
✓ RENAME files (random/generated names) → avoid path traversal and overwrites; sanitize
  filenames
✓ SCAN for malware where appropriate; set correct Content-Type/Content-Disposition when serving
✓ Use separate storage/domain or object storage (S3) for user files; access controls
```

## Varför det är viktigt

Att förstå säker hantering av filöverföringar är viktigt eftersom **filöverföringar är en vanlig funktion med betydande säkerrisker**, så att hantera dem på ett säkert sätt är väsentligt, vilket gör detta till värdefull praktisk säkerkunskap.

Att låta användare överföra filer introducerar allvarliga faror: **skadliga körbara/skriptfiler** som kan köras på servern (som en web shell som leder till fullständig serverkompromiss — en allvarlig risk), skadvarudistribution till andra användare, denial of service från för stora filer, **path traversal** i filnamn (överskrivning av systemfiler) och filer med vilseledande typer (en .jpg som faktiskt är ett skript).

Dessa gör osäkra filöverföringar till en farlig, ofta utnyttjad funktion.

Att förstå hur man **säkrar överföringar** är den viktigaste praktiska kunskapen: **validering av filtyp genom verkligt innehåll/MIME** (inte bara tillägget, som kan förfalska) och **allowlisting** av tillåtna typer, **begränsning av filstorlek** (förebyggande av resursöverbelastning), kritiskt **att inte köra överföringar** (lagring utanför web root och aldrig serving från en körbar katalog — förebyggande av det farliga kodexekveringsscenariot), **omdöpning av filer** med genererade namn och sanering av filnamn (förebyggande av path traversal och överskrivningar), skanning för skadvara vid behov, inställning av korrekta innehållstyper vid serving och användning av separat lagring (som objektlagring) med åtkomstkontroller.

Dessa åtgärder åtgärdar de specifika riskerna med överföringar.

Då filöverföringar är en vanlig funktion med betydande, allvarliga risker (särskilt serverkompromiss via körbara överföringar) och säkring av dem kräver specifika åtgärder (typ-/storleksvalidering, icke-körbar lagring, omdöpning, försiktig serving), och då förståelse för detta är väsentligt för varje applikation med överföringar, är förståelse för säker hantering av filöverföringar värdefull, praktiskt relevant säkerkunskap — viktig för den vanliga, riskfyllda funktionen filöverföringar, adressering av allvarliga sårbarheterna (kodexekvering, path traversal, DoS) med specifika försvar och väsentlig kunskap för all utvecklare som bygger överföringsfunktionalitet.