Сижу вот, думаю, как у всех складывается работа с уязвимостями на реальных проектах. Не с абстрактными «тестами», а именно с реальными веб-приложениями, которые живут и дышат. Лично я заметил пару моментов, которые постоянно поднимаются в моей практике и подкидывают головной боли.

Интересно, кто как с этим сталкивался на практике? Есть ли смысл копать глубже или тема больше теоретическая?

Реально, когда код на продакшене, всегда проще сказать «ща поправим», чем вот прямо сейчас. Главное — автоматизировать хотя бы часть проверки, чтобы утром не было сюрпризов. А то помню времена, когда баг фиксили на глазах у пользователей — ништяк, конечно, но нервов потом не хватает.