Remote file inclusion (RFI) är en typ av hackerattack som framför allt sker på webbplatser. Denna attack inträffar om administratören eller webbplatsbyggaren inte inkluderar korrekt validering och alla som vill kan smyga in en fil i systemet. Med denna attack injicerar hackaren en fjärrfil i servern, och innehållet i filen skapar förödelse på servern enligt vad hackaren kodade. Vissa attacker med fjärrfilinkludering lägger bara till en slumpmässig textsträng till webbplatsen, medan andra kan orsaka något mer skadligt, såsom överbelastning av tjänsten (DoS), datastöld eller ytterligare sårbarheter på webbplatsen.
Alla webbplatser består av många filer — för bilder, kodning och andra funktioner. Om administratören inte inkluderar valideringsregler som letar efter inkommande filer, är en fjärrfilinkludering en av de enklaste attackerna för en hackare att utföra. Hackaren måste bara manipulera webbadressen för att lura den att inkludera en ny fil, och fjärrfilen kommer att laddas upp till servern.
Fjärrfilen i sig är vanligtvis en textfil som innehåller någon form av skadlig kod. I det bästa scenariot använder hackaren bara fjärrfilinkludering för att lägga till slumpmässig text till webbplatsen för att förstöra den. Detta är irriterande men inte nödvändigtvis farligt. Administratörer kommer att upptäcka att deras system är sårbart och på så sätt kan hackaren utföra en tjänst genom att varna administratörer om säkerhetshålet.
Oftare är dock en fjärransluten filinkluderingsattack mycket värre för webbplatsägaren. Efter att skriptet i textfilen körs inuti servern kan det orsaka en DoS-attack genom att hela tiden pinga servern tills webbplatsen inte längre fungerar. All data som lagras i databasen kan också stjälas från webbplatsen.
En annan anledning till att använda fjärrfilinkludering är att göra webbplatsen svagare för andra attacker. När koden körs kan den enkelt skapa stora hål i en annars säker webbplats, vilket är vad en hackare kan behöva för att komma längre in på webbplatsen, servern eller databasen. Detta kan vara svårt för administratören att fixa eftersom, när koden väl har körts, kan den ändra eller manipulera alla andra filer som är associerade med webbplatsen.
För att undvika att bli hackad placerar administratörer vanligtvis valideringsregler på externa filer. Ännu bättre, externa filer tillåts inte in i systemet genom sådana kryphål. RFI är ett enkelt hack för både nya och avancerade hackare, men om administratören säkerställer validering av alla filer bör fjärrfilen inte kunna smyga sig in.