автор всё правильно сказал. и он не отрицает сканеры (автоматизация труда этож хорошо!) при наличии кода (т.н. "whitebox") - однозначно _после_ сканеров надо и вручную ещё попробовать - шансы есть. но гораздо интереснее как "blackbox" вручную тестируют? методология? где почитать? ещё раз спасибо!