クラッカー側の心理（想像ですけど）としては、脆弱性があるかないか分からないところに、調査のために何度も攻撃をするのは危険性が高いと思う（あくまでも想像です）ので、作りこみのWebサービスに対して真正面に攻撃するのはどちらかというと避けるのではないかという気がします。ロックアウトされるくらいならまだしも、攻撃を受けたとして通報される可能性もあるからです。ログに関しても、どのようにとっているかが不明なので、決定的な証拠を残す可能性をさけられないというのもあります。ま、たまたま見つけちゃったとか、チャットとかで誰かから聞いたとか、誰が見ても明らかな脆弱性があるとか、ソースコードを入手できたとか、そういう場合は別だと思いますけど。
それよりもプラットフォーム側の脆弱性のほうが、利用しやすいのではないかと思います。それは、実験もしやすいですし、情報も手に入れやすいですし、exploitツールも開発されてますし、知識が少なくてもより簡単に攻撃できるからです。また、ログを回避する方法を研究することもできますし、分からないように脆弱性の有無を検査する方法を研究することもできます。取っ掛かりの攻撃としては、プラットフォームを攻撃する方が、圧倒的にメリットがある（くどいですが、想像です）ように思います。
プラットフォームとしては、OSやHTTPサーバー、FTPサーバーなどはすぐに思いつきますが、以外にルーターやファイヤーウォール機器、アンチウィルスソフトなども攻撃対象になるような気がします。特にアンチウィルスソフトは、攻略されるとかなり危険な気がします。なぜなら、ウィルス定義を入れ替えてしまうと、たちまちノーガードサーバーになってしまいますから。特にウィルスソフトでも、自動アップデート機能に感染するようなワームは注意が必要かも知れませんね。あと、見落としがちなところでは、プリンターも攻撃対象です。DMZにプリンターがあることはあまりないかもしれませんが、大学などではプリンターとサーバーが同じセグメントにあることも少なくないように思います。