Тема более чем обширная. Почитай про типы атак на OWASP. Так же рекомендую этот ресурс https://pentesterlab.com. Чтобы понимать, как действует атакующий.
Ну а как же https? Насчет атак - у хостеров поинтересуйтесь, как они справляются с DDoS, например (только вряд ли Вам об этом расскажут). Сходите сюда и вот сюда - тут много чего полезного.
Есть отличная книга - Web Application Hackers Handbook. В ней автор рассказывает о проблемных местах и подходах по ломанию веб-приложений, а также дает рекомендации по защите. Многое в этой книге пересекается с OWASP. Я бы сказал, одно дополняет другое.