Hogyan találják meg a biztonsági hibákat? (kézileg, nem scannelve)

Na mármost legyen példa egy web felület.Van két inputunk, amivel próbálgatjuk az XSS-st.Egyiknél letiltja a <script> tagot és kiíratja, de sima onError-al működik.A másiknál működik a <script>.Na lényegében arra vagyok kíváncsi, hogy hogy a fenébe találják meg a hibát.Megcsináltam a DVWA-t, XVWA-t stb.De azok már unalmasak, mert tudom hogy sebezhető...Ha bypassing technikákat is alkalmazva, de tudom hogy sérülékeny.Próbáltam rákeresni, de csak PHP fájlokban van elmagyarázva, de én külsősként nem látom a PHP fájlokat.Szóval hogyan...?