Yo por principio no me pronuncio sobre auditorias que hacen otros, y menos con la poca información que se puede poner aqui. Habría que ver tu esquema. Lo mas que hago es recabar informacion de auditorias anteriores, pero siendo bastante discreto.

Lo que si tengo claro, es que si yo en una auditoria digo que un sistema es vulnerable a SQL Injection, les pongo un ejemplo para que vean que no me estoy inventando nada.

¿No te han dicho cómo se puede aprovechar esa supuesta vulnerabilidad?.
Un saludo
Hooker
Un saludo