LFI (Local File Inclusion): Cuando tu servidor revela sus secretos

Local File Inclusion (LFI) es una vulnerabilidad que permite a un atacante incluir archivos locales del servidor web en la respuesta HTTP. A menudo ocurre cuando se pasan rutas de archivos sin una validación adecuada.

// index.php?page=about.php
$page = $_GET['page'];
include($page);

Un atacante podría manipular esta entrada para cargar archivos del sistema:

index.php?page=../../../../etc/passwd

Este tipo de ataque puede revelar archivos sensibles, scripts del backend o incluso credenciales si se combinan con otras técnicas como wrappers (php://, data://, zip://).

Consecuencias comunes:

• Lectura de archivos como /etc/passwd, config.php, logs, etc.
• Ejecutar código malicioso si hay RCE habilitado (por ejemplo, con LFI + log poisoning).
• Escalada de privilegios.

¿Cómo protegerse?

• Evitar usar rutas dinámicas sin validación.
• Usar listas blancas de rutas válidas.
• Desactivar funciones innecesarias como allow_url_include en PHP.
• Monitorear logs de acceso para patrones sospechosos.

Incluso un pequeño parámetro en la URL mal gestionado puede comprometer toda tu infraestructura.