File Inclusion
Una vulnerabilidad de inclusión de archivos (File Inclusion) es un tipo de vulnerabilidad que afecta principalmente a aplicaciones web que dependen de un motor de ejecución de scripts.
Este problema ocurre cuando una aplicación construye una ruta de acceso a código ejecutable utilizando una variable controlada por la persona usuaria, lo que puede permitir que se ejecute un archivo no previsto en tiempo de ejecución.
Existen dos tipos principales de ataques asociados a esta vulnerabilidad:
- Local File Inclusion (LFI): Permite cargar archivos locales presentes en el servidor.
- Remote File Inclusion (RFI): Permite cargar archivos de manera remota, desde ubicaciones externas al servidor.
Al acceder a la sección correspondiente, se muestra una lista de archivos disponibles para su inclusión.
Al hacer clic sobre uno de estos archivos, su contenido se carga y se ejecuta el código correspondiente.
Si se observa la URL, se puede ver que contiene el nombre del archivo seleccionado.