Molto spesso ci si dimentica di mettere una pagina di errore personalizzata da mostrare per default quando qualcosa va in errore. Questo comporta che quanddo si verifica un'eccezione, l'utente si ritrova davanti la maschera classica di ASP.NET la quale contiene molte informazioni che possono essere utili a malintenzionati che cercano di violare il sistema.

Con la seguente query, utilizziamo l'assembly Microsoft.Web.Administration al fine scoprire quali siano all'interno di IIS le applicazioni che non hanno una pagina personalizzata configurata. Per fare questo apriamo il file di configurazione, cerchiamo la sezione customErrors sotto System.Web ed infine recuperiamo il valore dell'attributo Mode che se impostato a 0 equivale a Off e se 1 a On.

from site in server.Sites
from app in site.Applications
where app.GetWebConfiguration().GetSection("system.web/customErrors")["mode"].ToString() == "0"
select site.Name + app.Path;