Al momento ho un server web che esegue Windows Server 2012 che esegue IIS come server web e utilizza PHP.
Supponiamo che un utente sia in grado di caricare un trojan sul mio server, sia attraverso un sito ospitato vulnerabile che magari con qualche altro exploit.
Se l'utente è in grado di trovare la directory del sito su cui è stato caricato il file, può spostarsi su di esso, eseguendo così il virus.
Recentemente ho parlato di questa possibilità al mio collega e ha affermato che il suo server è configurato in modo tale da consentire solo l'esecuzione di script php.
Come si configura il proprio server solo per consentire l'esecuzione di script php o per lo meno non consentire l'esecuzione di determinati tipi di file da parte dell'utente malintenzionato.
Saluti