Я не уверен, что IIS будет хранить потенциально опасный параметр строки запроса - если только он не распознает его как таковой.
Если вы загрузите и запустите NetSparker (бесплатная версия для сообщества) , вы сможете найти, какие URL на вашем сайте уязвимы, и примеры строк запросов, которые заставят IIS записать ошибку.
Пример «опасной» строки запроса: если URL-адрес, подобный следующему, вызывает сообщение о внутренней ошибке; вы можете заставить ошибку появляться в IIS следующим образом:
http://your-site.com/your-url?nsextt='"--><script>netsparker(0x00000F)</script>
Netsparker * считает, что это проблема с низким уровнем серьезности, со следующим воздействием:
Воздействие может варьироваться в зависимости от
состояние. Это может быть указанием
более важной проблемы, такой как SQL
Инъекция или может быть результатом или
плохая практика кодирования.
* Я использую NetSparker - никаких других подключений.