Нет одной конкретной методологии или сценария. Часто уязвимости находят обычные пользователи. Сколь скрупулёзными не были бы штатные тестировщики, обнаружить все недостатки, касающиеся не только функционала, но и безопасности, они не смогут. Миллионы пользователей софта помогают компаниям находить и устранять уязвимости. Чтобы мотивировать пользователей сообщать о проблемах, разработчики назначают награды (т. н. программы bug bounty).
В программах bug bounty участвуют и профессионалы — специалисты в области IT и защиты информации. Они могут применять стандартизированные подходы к поиску уязвимостей, и их результативность обычно выше, чем у обычных пользователей.
Наконец, ещё одна категория — это киберпреступники. Они ищут «дыры» в программах, чтобы затем использовать в рамках кибератак. При этом ищут уязвимости и эксплуатируют их разные люди. Для киберпреступных группировок вообще характерно разделение ролей и ответственности, что позволяет, в том числе, минимизировать риски для высших звеньев иерархии, а в руки правоохранительных органов обычно попадают лишь низшие звенья, т. н. «денежные мулы» или «дропы».
Впрочем, приведённая классификация во многом условна, и участники могут переходить из одной группы в другую, и даже состоять в нескольких одновременно. Одну и ту же уязвимость исследователь может продавать сразу на нескольких площадках.
Владимир Ильич, вы ли это?