Saltar al contenido principal

File Inclusion

Una vulnerabilidad de inclusión de archivos (File Inclusion) es un tipo de vulnerabilidad que afecta principalmente a aplicaciones web que dependen de un motor de ejecución de scripts.

Este problema ocurre cuando una aplicación construye una ruta de acceso a código ejecutable utilizando una variable controlada por la persona usuaria, lo que puede permitir que se ejecute un archivo no previsto en tiempo de ejecución.

Existen dos tipos principales de ataques asociados a esta vulnerabilidad:

  • Local File Inclusion (LFI): Permite cargar archivos locales presentes en el servidor.
  • Remote File Inclusion (RFI): Permite cargar archivos de manera remota, desde ubicaciones externas al servidor.

Al acceder a la sección correspondiente, se muestra una lista de archivos disponibles para su inclusión.

Listado de ficheros para la inclusión

Al hacer clic sobre uno de estos archivos, su contenido se carga y se ejecuta el código correspondiente.

Fichero cargado

Si se observa la URL, se puede ver que contiene el nombre del archivo seleccionado.

Url archivo incluye