Remote file inclusion (RFI) je vrsta hakerskog napada koji se događa pretežno na web-mjestu. Ovaj napad se događa ako administrator ili graditelj web stranice ne uključuje odgovarajuću provjeru valjanosti i svatko tko želi može ušuljati datoteku u sustav. Ovim napadom, haker ubacuje udaljenu datoteku na poslužitelj, a sadržaj datoteke izaziva pustoš na poslužitelju prema onome što je haker kodirao. Neki napadi daljinskog uključivanja datoteka samo dodaju nasumični niz teksta na web stranicu, dok drugi mogu uzrokovati nešto zlonamjernije, kao što je uskraćivanje usluge (DoS), krađa podataka ili daljnje ranjivosti na web stranici.
Sva web-mjesta sastavljena su od mnogo datoteka — za slike, kodiranje i druge značajke. Ako administrator ne uključuje pravila provjere valjanosti koja provjeravaju dolazne datoteke, tada je uključivanje udaljene datoteke jedan od najlakših napada za hakera. Haker samo mora manipulirati adresom web stranice kako bi je prevario da uključi novu datoteku, a udaljena datoteka bit će učitana na poslužitelj.
Sama udaljena datoteka obično je tekstualna datoteka koja sadrži neku vrstu zlonamjernog koda. U najboljem scenariju, haker samo koristi daljinsko uključivanje datoteke kako bi dodao nasumični tekst na web stranicu kako bi ga umanjio. Ovo je neugodno, ali ne nužno i opasno. Administratori će otkriti da je njihov sustav ranjiv i na taj način haker možda obavlja uslugu upozoravajući administratore na sigurnosnu rupu.
Češće je, međutim, napad udaljenog uključivanja datoteka mnogo gori za vlasnika web stranice. Nakon što se skripta u tekstualnoj datoteci izvrši unutar poslužitelja, može uzrokovati DoS napad stalnim pingiranjem poslužitelja sve dok web-mjesto više ne funkcionira. Svi podaci pohranjeni u bazi podataka također se mogu ukrasti s web stranice.
Drugi razlog za korištenje daljinskog uključivanja datoteka je da se web stranica učini slabijom za druge napade. Kada se kod izvrši, lako može stvoriti velike rupe u inače sigurnoj web stranici, što je ono što bi hakeru moglo trebati da bi probio dalje do web stranice, poslužitelja ili baze podataka. Administratoru bi to moglo biti teško popraviti jer, nakon što se kod izvrši, može promijeniti ili manipulirati svim ostalim datotekama povezanim s web-mjestom.
Kako ne bi bili hakirani, administratori obično postavljaju pravila za provjeru valjanosti na vanjske datoteke. Što je još bolje, vanjske datoteke nisu dopuštene u sustav kroz takve rupe. RFI je jednostavan hak za nove i napredne hakere, ali ako administrator osigura provjeru valjanosti svih datoteka, udaljena datoteka ne bi se trebala moći ušuljati.