Actualmente tengo un servidor web que ejecuta Windows Server 2012 que ejecuta IIS como servidor web y usa PHP.
Supongamos que un usuario puede cargar un troyano en mi servidor, ya sea a través de un sitio alojado vulnerable o tal vez a través de algún otro exploit.
Si el usuario puede encontrar el directorio del sitio donde se cargó el archivo, puede navegar hasta él y ejecutar el virus.
Recientemente hablé sobre esta posibilidad con mi colega y él dijo que su servidor está configurado de una manera que solo permitiría la ejecución de scripts php.
¿Cómo se configura su servidor para permitir solo la ejecución de scripts php o, al menos, impedir que el atacante ejecute ciertos tipos de archivos?
Saludos