Вопрос задан очень абстрактно.
Мое мнение - оценить защиту web application, серверов и инфраструктуры в целом как "хорошо" или "плохо" довольно безсмысленно.
В первую очередь нужно поставить цель, для чего Вам эта информация? Наперед осмелюсь сказать что каждый объект из Ваших целей содержит как минимум по 1 уязвимости. Идеальной системы впринципе не существует. Объясняеться кол-вом векторов атак, частотой обновления критических уязвимостей, и ключевой момент - человеческий фактор. Даже в идеальной с технической и архитектурной точки зрения системе присутствует человек. Как никак людям свойственно ошибаться. Реальные примеры, статичтики можно легко найти в отрытом доступе, вектор атаки "Социальная инжинерия".
Сканнеры что предложили с оценкой защищености системы не способны справиться. Нужно ясно понимать, любой сканнер это автоматизация, любая автоматизация ни что не более чем инструмент. В опытных руках инструмент облегчит работу, смысл использовать его без теоретического и практического понимания выполняймых процессов я не очень понимаю. Другим словами аналогия "обезъяна с гранатой".
Я лишь могу предположить, данные инструменты только дезориентируют своими false positive результатами, да и в целом отчеты тоже нужно уметь воспринимать по существу.
Оставляйте канал связи, возможно сделаю первичный аудит/разведку. Но это не точно)