составить правильное ТЗ
нельзя ограничивать пентестера - так он не найдет дырок. Единственное ограничение должно быть, что при проверке не должно уничтожаться данных. Причем заказчик должен сам усилить создание бекапов.
К сожалению культуры white-hat сейчас в РФ нет. Так что любой баг может с не нулевой вероятностью утечь.
Потому лучше построить поиск спеца через какого-то человека с репутацией.
Можно, например, пошарить по хабру и попросить у них советов и контактов
Нужно учесть, что время спецов будет стоить дорого. И возможно проще самому пошарить и убрать sqli, xss, ...
