Estoy siguiendo un curso en el que el capacitador recomienda identificar todas las vulnerabilidades que afectan a una aplicación web antes de intentar explotarlas.
Si bien entiendo la necesidad de identificar todas las vulnerabilidades, no entiendo por qué debo esperar antes de intentar explotar una vulnerabilidad que acabo de encontrar (como una inyección de SQL, una inyección de comandos, la inclusión de archivos remotos, ...) y volver a ella más tarde?
¿Hay alguna razón para proceder así?