Nuotolinis failų įtraukimas (RFI) yra įsilaužėlių atakų tipas, dažniausiai vykstantis svetainėse. Ši ataka įvyksta, jei administratorius arba svetainės kūrėjas neįtraukia tinkamo patvirtinimo ir bet kas, norintis, gali paslėpti failą į sistemą. Su šia ataka įsilaužėlis įterpia nuotolinį failą į serverį, o failo turinys sugriauna serverį pagal tai, ką įsilaužėlis užkodavo. Kai kurios nuotolinės failų įtraukimo atakos tiesiog prideda prie svetainės atsitiktinę teksto eilutę, o kitos gali sukelti daugiau kenkėjiškų dalykų, pvz., paslaugų atsisakymą (DoS), duomenų vagystes ar kitus svetainės pažeidžiamumus.
Visos svetainės sudarytos iš daugybės failų, skirtų vaizdams, kodavimui ir kitoms funkcijoms. Jei administratorius neįtraukia patvirtinimo taisyklių, kurios tikrina, ar nėra gaunamų failų, nuotolinis failų įtraukimas yra viena iš paprasčiausių įsilaužėlių atakų. Įsilaužėlis tiesiog turi manipuliuoti svetainės adresu, kad apgaulės būdu įtrauktų naują failą, o nuotolinis failas bus įkeltas į serverį.
Pats nuotolinis failas paprastai yra tekstinis failas, kuriame yra tam tikras kenkėjiškas kodas. Geriausiu atveju įsilaužėlis tiesiog naudoja nuotolinį failų įtraukimą, kad pridėtų atsitiktinį tekstą į svetainę, kad ją sugadintų. Tai erzina, bet nebūtinai pavojinga. Administratoriai sužinos, kad jų sistema yra pažeidžiama ir tokiu būdu įsilaužėlis gali atlikti paslaugą, įspėdamas administratorius apie saugos spragą.
Tačiau dažniau nuotolinė failų įtraukimo ataka yra daug blogesnė svetainės savininkui. Po to, kai tekstiniame faile esantis scenarijus vykdomas serveryje, jis gali sukelti DoS ataką, nuolat pinguodamas serveriu, kol svetainė nebeveiks. Bet kokie duomenų bazėje saugomi duomenys taip pat gali būti pavogti iš svetainės.
Kita priežastis, kodėl reikia naudoti nuotolinį failų įtraukimą, yra padaryti svetainę silpnesnę prieš kitas atakas. Kai kodas vykdomas, jis gali lengvai sukurti dideles skyles kitu atveju saugioje svetainėje, o to gali prireikti įsilaužėliui, kad jis galėtų patekti į svetainę, serverį ar duomenų bazę. Administratoriui gali būti sunku tai ištaisyti, nes kai kodas bus vykdomas, jis gali pakeisti arba manipuliuoti visais kitais su svetaine susietais failais.
Siekdami apsisaugoti nuo įsilaužimo, administratoriai paprastai nustato išorinių failų patvirtinimo taisykles. Dar geriau, kad išoriniai failai neįleidžiami į sistemą per tokias spragas. RFI yra lengvas įsilaužimas tiek naujiems, tiek pažengusiems įsilaužėliams, tačiau jei administratorius užtikrina visų failų patvirtinimą, nuotolinis failas neturėtų patekti į jį.