Я уже отвечал в похожей теме, я просто скопирую ответ. Актуально для веба:
Форумы и только форумы: античат, эксплоит и другие. Читайте статьи и пробуйте. Не получается - задавайте вопросы на форумах.
Вам нужно понять как работают такие вещи, как:
- SQL-injection
- PHP-injection
- XSS
- CSRF
- LFI
- RFI
- Эксплойты (поиск и эксплуатация)
- Научится работать со сканерами (особенно Metasploit)
Как научитесь находить и раскручивать вышеупомянутые, как самые популярные, виды атак, можете заявить, что что-то знаете. В процессе познакомитесь с кучей других видов уязвимостей, их разнообразием.