Skip to main content

File Inclusion

Una vulnerabilidad de inclusión de archivos (File Inclusion) es un tipo de vulnerabilidad que afecta principalmente a aplicaciones web que dependen de un motor de ejecución de scripts.

Este problema ocurre cuando una aplicación construye una ruta de acceso a código ejecutable utilizando una variable controlada por la persona usuaria, lo que puede permitir que se ejecute un archivo no previsto en tiempo de ejecución.

Existen dos tipos principales de ataques asociados a esta vulnerabilidad:

  • Local File Inclusion (LFI): Permite cargar archivos locales presentes en el servidor.
  • Remote File Inclusion (RFI): Permite cargar archivos de manera remota, desde ubicaciones externas al servidor.

Al acceder a la sección correspondiente, se muestra una lista de archivos disponibles para su inclusión.

List of files for inclusion

Al hacer clic sobre uno de estos archivos, su contenido se carga y se ejecuta el código correspondiente.

File loaded

Si se observa la URL, se puede ver que contiene el nombre del archivo seleccionado.

Url file-inclusion