各位大佬好，最近我在排查公司部署的ASP.NET Framework 4.7.2应用的安全漏洞，碰到一个头疼的问题：其中一个应用触发了OWASP的Generic Padding Oracle告警，但这个涉事页面本身并没有用到任何加密逻辑，所以我猜测应该是系统存在“错误 oracle”——也就是当发生错误时会返回带具体错误细节的响应，才触发了这个告警。

我知道在ASP.NET里，这类问题通常是因为没正确配置自定义错误页导致的，所以我已经在web.config里加了如下配置：

<configuration>
  <system.web>
    <customErrors mode="RemoteOnly" defaultRedirect="~/Home/Error" />
  </system.web>
</configuration>

而且特意在生产环境做了测试：故意制造错误（比如输入无效参数触发异常），系统确实会跳转到我自定义的~/Home/Error页面，完全看不到ASP.NET默认的那种泄露错误栈的页面。更奇怪的是，公司其他同技术栈、配置看起来完全一致的应用，扫描时都没触发这个告警。

现在我实在想不通还有什么遗漏的点，想请教各位大佬，除了customErrors配置之外，还有哪些可能的原因会导致这个告警？比如：

• 是不是某些特定的请求路径（比如静态资源、Web API接口）没被customErrors覆盖？
• 应用的Global.asax里的Application_Error事件有没有写什么特殊逻辑，导致某些错误还是会返回详细信息？
• 有没有可能漏洞扫描工具误报？有没有什么手动验证的方法可以确认是否真的存在padding oracle风险？
• 会不会是应用里隐式用到了加密组件（比如Forms Auth、ViewState加密），这些组件的错误泄露了敏感信息？
• defaultRedirect指向的错误页本身会不会在某些场景下抛出异常，导致 fallback到默认错误页？

麻烦各位大佬帮忙指点一下，谢谢啦！