Сами и пишем. Из-за отсутствия как такового отдела тестирования, тестировщиков просто раскидывают на разные проекты - крутитесь как хотите, но чтобы функционал работал.
Вчера обсуждала с тест-лидом, она мою позицию поддержала. Ведь если портал потом сломают, вся вина будет по-любому на компании-разработчике.
В поисках уязвимостей вы, безусловно, тратите свое время, выделенное на функциональное тестирование.
Хм, если отталкаваться от теории, то тестирование безопасности входит в область функционального тестирования. А вообще, такие простые вещи как xss, html-injections тестируются по ходу действия. Просто вместо валидных данных вводятся скрипты, дальше уже дело за малым - следить, где они себя проявят. Ну и время на заведение бага.