Espantas a la gente. Imagina llega un hueon y te dice
OYE TIENES VULNERABILIDADES POR UNA MODICA SUMA YO TE AYUDO. Una persona que jamas ha escuchado o leido del tema o sabe de seguridad no va a entender porque un aparecido llega y le habla de algo que no sabe y propone ayudarlo. Es sospechoso. Por supuesto, que va saca en limpio con bloquearte. Es una prueba de que la persona no esta pensando.
Lo que se tiene que hacer es asumir un rol, para que la persona no se espante. Si la persona vende aplicaciones web el teatro es facil de armar.
>te presentas como un potencial cliente
>le explicas que como tal, bajaste la demo y le pediste a una pequeña firma de seguridad que realizara una auditoría bajo la metodologia X para poder determinar si el producto no posee vulnerabilidades que puedan poner en riesgo el negocio
>le adjuntas un reporte con la vulnerabilidad y la mitigación correspondiente
Si encontraste varias vulnerabilidades solo le mandas una, estas jugando lo mismo que el, le mandas una demo. No tiene que ser la mas critica, solo una que llame la atencion. Imagino que debe tener una biblioteca con un CVE, mandale algo asi. Facil de detectar, facil de solucionar. Para eso tienes que redactar el informe en clave "tecnico-ejecutivo" que son los tipos de informes que mandas a los equipos de trabajo que tienen que leer tanto los product owner como los programadores para poder solucionar el hallazgo.
>el potencial cliente tuyo tiene dudas?
Redactas el informe con los datos de contacto de la empresa, tu mismo.
En relacion al formato, yo no me preocuparia. He visto de todo tipo y nadie se espanta. De todas formas aca hay un repositorio con buenos ejemplos de informe.
https://github.com/juliocesarfort/public-pentesting-reports
PROTIP: En lugar de decir "vulnerabilidades" di "hallazgos" a la hora de explicar la situacion, sea por chat o informe. La gente se caga entera cuando le dices la primera palabra.