Local y remote file inclusion en PHP

(14 comentarios)

Ya hablamos hace un tiempo del Cross-Site Scripting o XSS, una de las múltiples vulnerabilidades con las que nos podemos encontrar a la hora de desarrollar una página web. Junto con la inyección SQL, XSS es una de las vulnerabilidades más conocidas y habituales. Hoy trataremos dos vulnerabilidades algo menos conocidas, pero no por ello menos peligrosas: la inclusión remota y la inclusión local de archivos.

El Remote File Inclusion, RFI, o inclusión remota de archivos, es un tipo de vulnerabilidad que podemos encontrar en páginas web que no filtran correctamente la información proveniente del usuario. En PHP se puede dar al hacer uso de las construcciones include, include_once, require y require_once, o la función fopen, entre otros, con parámetros procedentes del usuario.

[Pulsa para continuar]