我做公司的安全测试,一方面做黑盒测试,找到安全的隐患。另一方面,我利用安全测试工具poras,该工具给出了一些问题。1、SQL Injection2、CRLF injection3、Cross site scripting without brackets4、Obsolete file。每个问题后面,都跟着很条理的修改意见。很抽象。发给开发人员。但是他们对此不以为然。你们做为i测试人员,应该给出更加充分的理由吗? 比如从程序的代码入手,指出该如何改进程序。如果真该那样的话,如何深入,有没有具体的web安全分析案例吗?一个也可以