Немного терминологии. Уязвимость - место в программе, где потенциально ПОТЕНЦИАЛЬНО(!) может возникнуть неправильное поведение.
С точки знения IT-безопасников, "найти уязвимость" почти синоним от взлома системы.
На самом деле это совсем не так, для большого процента выявляемых уязвимостей не удается придумать
способ их эксплуатации (эксплоит).
Но даже если Васе Пупкину Сережа Жидовкин такой эксплоит, на дискетке, подогнал,
еще не значит что Вася уже может подгонять грузовик к порадному подъезду банка.
Во первых, ни получение рута, ни DoS влоб не монетизируются.
Это отдельный гений нужен, как все это в деньги превратить.
Во вторых, ответственные сервера голяком в интернет никто не выставляет. То, к чему вам удасться получить доступ,
скорее всего промежуточный сервер без мозгов только с кешем. Ну или вообще honeypot :)
В третьих, а внутренние системы аудита и выявления атак кто за вас ломать будет? :)
По поводу стратегии safety through obscurity - она не работает.
Профессионалы ориентируются на При́нцип Керкго́ффса.