Las recompensas de errores relacionadas con la seguridad suelen ser más un evento de relaciones públicas que un intento de subcontratar una auditoría de seguridad. El mensaje que desean comunicar es "Nuestro software es seguro y estamos tan seguros de que apostamos $$$$$ que nadie puede encontrar una vulnerabilidad".
Cuando una empresa otorga una recompensa de errores, puede asumir que también ha leído la literatura estándar sobre pruebas de penetración y ya ha solucionado esas vulnerabilidades que puede encontrar con los métodos habituales. Cuando cualquier novato pudiera encontrar sus errores, la oferta de recompensas por errores se volvería costosa y mala para las relaciones públicas.
Cuando disfruta buscando vulnerabilidades, desea mejorar sus habilidades y quiere hacer bien mientras lo hace, puede considerar apoyar algunos proyectos de código abierto más pequeños que no cuentan con los recursos para una auditoría de seguridad. No te pagarán, pero obtendrás una valiosa experiencia.
Una "prueba de concepto" para una vulnerabilidad es una demostración que muestra que el error ocurre. Esto ilustra que el error está realmente allí y no solo un enfoque teórico. Puede ser una serie de instrucciones como "Haga clic aquí, haga clic allí, ingrese eso, haga clic en, luego haga clic allí, aplauda dos veces y tenga acceso de administrador". O puede ser una vulnerabilidad: un programa que hace que la aplicación se comporte mal cuando se ejecuta. Cuando se prueba un error con un exploit, generalmente se espera que no solo entregue el código binario sino también el código fuente y una explicación de cómo funciona.