Вроде как всё понятно, но такой подход слишком поверхностный. Например, с XSS просто вставлять теги — это лотерея, много нюансов зависит от контекста. Да и CSRF с токенами не всегда так просто проверить вручную, без инструментов легко что просмотреть. В итоге, если хочется быстро — норм, но серьезные уязвимости так не найдёшь, а фиксы могут оказаться поверхностными и опасными.