Прогони базовые сканы OWASP zap - со всеми плагинами, что то ты сможешь получить - но шансов мало. Так же подруби Ajax-spider и crawler.
Тут огромный бюджет на полноценный пентест и не нужен - думаю что можно найти фрилансера допустим на 25000-30000 рублей или около того.
Будет хоть что то и базовые вектора от скрипткидисов закроешь
Но опять же для директора надо поднять вопрос рисков - каков риск потери бизнеса и каков риск взлома. Вот это лучше оцени - и попытайся пролоббировать вопрос