Аналогичное отношение и к коду под .NET (успешно находил проблемы при помощи различных профайлеров, иногда для проверки гипотез пишу код под BenchmarkDotNet и снимаю дампы). Нравится искать уязвимости в вебе, за плечами хороший разнообразный опыт (т.е. не только sql-i, но и HTTP Parameter Pollution, CRLF, CSRF, Response splitting, CSRF, subtomain takeover (даже корневой), XSS, remote root access и много другого).