о да! при "чёрном ящике", а он и правда более распространён, это единственный вариант - разведка и "перебор" (главное умный перебор, потому что всё подряд подбирать жизнь пройти может).
и тут важно с умом оперировать находками, а то я тут много видел как народ искал SQLi и разочаровывался там, где я находил тут же LFI (там прям по параметрам URL очевидно, что SQLi там быть не может а как раз LFI) и порой LFI2RCE (через PHP фильтры) - мой любимый баг прям был в 2024 помню, причём актуален и по сей день.
SQLi и XSS они прочно засели в массовом сознании да так, что народ порой подсознательно отметает не менее вкусные более простые варианты: LFI (и даже порой RFI !), IDOR, SSRF (особенно в платёжках они збс), и всякие небезопасные десериализации (вот об этом мечтаю узнать подробнее, для меня штука не "магическая" но прям около того, в плане поиска).