Kaugfailide kaasamine (RFI) on teatud tüüpi häkkerite rünnak, mis toimub peamiselt veebisaitidel. See rünnak juhtub siis, kui administraator või veebisaidi koostaja ei sisalda nõuetekohast valideerimist ja igaüks, kes soovib, saab faili süsteemi hiilida. Selle rünnakuga süstib häkker serverisse kaugfaili ja faili sisu põhjustab serveris kaost vastavalt sellele, mida häkker kodeeris. Mõned kaugfailide kaasamise rünnakud lisavad veebisaidile lihtsalt juhusliku tekstistringi, samas kui teised võivad põhjustada midagi pahatahtlikumat, näiteks teenuse keelamist (DoS), andmete vargust või muid veebisaidi haavatavusi.
Kõik veebisaidid koosnevad paljudest failidest – piltide, kodeerimise ja muude funktsioonide jaoks. Kui administraator ei lisa sissetulevaid faile kontrollivaid valideerimisreegleid, on kaugfailide kaasamine häkkeri jaoks üks lihtsamaid rünnakuid. Häkker peab lihtsalt veebisaidi aadressiga manipuleerima, et meelitada seda uue faili lisama, ja kaugfail laaditakse serverisse üles.
Kaugfail ise on tavaliselt tekstifail, mis sisaldab mingisugust pahatahtlikku koodi. Parima stsenaariumi korral kasutab häkker lihtsalt kaugfailide kaasamist, et lisada veebisaidile juhuslikku teksti, et seda rikkuda. See on tüütu, kuid mitte tingimata ohtlik. Administraatorid saavad teada, et nende süsteem on haavatav ja sel viisil võib häkker osutada teenust, hoiatades administraatoreid turvaaugust.
Sagedamini on aga kaugfailide kaasamise rünnak veebisaidi omaniku jaoks palju hullem. Pärast tekstifailis oleva skripti käivitamist serveris võib see põhjustada DoS-i rünnaku, pingitades serverit pidevalt, kuni veebisait enam ei tööta. Samuti saab veebisaidilt varastada kõiki andmebaasis salvestatud andmeid.
Teine põhjus kaugfailide kaasamiseks on veebisaidi muutmine muude rünnakute suhtes nõrgemaks. Kui kood käivitub, võib see muidu turvalisele veebisaidile kergesti tekitada suuri auke, mida häkker võib vajada, et pääseda veebisaidile, serverisse või andmebaasi kaugemale. Administraatoril võib seda olla keeruline parandada, sest pärast koodi käivitamist võib see muuta või manipuleerida kõigi muude veebisaidiga seotud failidega.
Häkkimise vältimiseks panevad administraatorid tavaliselt välistele failidele valideerimisreeglid. Veelgi parem, väliseid faile selliste lünkade kaudu süsteemi ei lubata. RFI on lihtne häkkimine nii uutele kui ka edasijõudnud häkkeritele, kuid kui administraator tagab kõigi failide valideerimise, ei tohiks kaugfail sisse hiilida.