Her zaman o şekilde olmayabilir hocam çünkü o sınıflandırmaya göre önemli görülen şeyler aslında önemsiz olabiliyor.
Önemli olan sisteme zarar veriyor mu cebinizden harcıyor musunuz?
Dediğiniz duruma istisna çok az örnek var onun dışında çoğu testte owasp baz alınıyor tabi senaryoya göre değişiklik gösteriyor o tarz durumlar owasp dışındada değerlendirilebilir ama bence müşteriye bırakılmaması gerekiyor
Çünkü çoğu kişide açıkları görmezden gelme veya tam olarak etkisini anlamama problemi mevcut bariz açıkları kasıtlı davranış olarak nitelendirip güvenlik açığı saymayanlarla bile karşılaştım.
Tabi son karar konu sahibine ait ben tavsiye verme amacıyla görüşümü belirttim.