ademas creo que hay un limite de hasta donde llegas con tu "auditoria", si encuentras una SQLI por ejemplo, no necesitas explotarla hasta obtener la cuenta de admin, ya sabes que es muy probable que la obtengas así que con reportar la vulnerabilidad seria suficiente.
pues yo intente denunciar una falla al administrador de mi universidad pero no di con el y me canse de buscarlo
Eso fue mi error (denunciar fallos de seguridad al admin).he acabado con una multa.