Вариант "наугад потыкать и сказать тут sql injection, а тут xss" отпадает,так как при таком подходе обнаружится лишь малая часть уязвимостей.
те вы уже знаете, какие там проблемы есть?
ето вообще новичкам нельзя делать (без присмотра)
полностью автоматизированное тестирование мне не подходит. почему?