L'inclusione di file locali (LFI) è una vulnerabilità delle applicazioni web in cui un input controllato dall'attaccante viene usato per selezionare un file sul server. Se l'applicazione non convalida correttamente tale input, un attaccante potrebbe essere in grado di leggere file locali sensibili come file di configurazione, log, codice sorgente o dati di sessione.
L'LFI è importante perché l'esposizione dei file può rivelare password, chiavi API, percorsi interni e altre informazioni che aiutano un attaccante a penetrare più a fondo in un sistema. In alcune applicazioni, l'LFI può anche essere combinato con altre debolezze per ottenere l'esecuzione di codice. I difensori riducono il rischio usando allowlist rigorose per i nomi dei file, evitando la gestione diretta dei percorsi, isolando i file sensibili dal codice accessibile via web e registrando le richieste anomale che tentano di attraversare le directory o fare riferimento a percorsi inattesi.