NewDevLab, я пишу свои велосипеды на php, js. Сейчас изучаю React, Laravel. Я знаю базовые только перебор паролей, что надо хешировать пароли перед тем как сохранить в бд, url манипуляция, если не админ то выдать 404 страницу (скрытие админ панели), sql инъекции, xss, ограничение ввода логина с паролем, скрытие ошибок и логирование, защита от тех кто завладел логами разными путями (по вифи, программы с вирусами и тд) больше я не знаю(
Навскидку:
1 - OWASP
2 - https://portswigger.net/web-security
3 - Если английский знаешь, тогда совмещай теорию и практику, к примеру, на https://root-me.org - задачи разделены на разделы, для каждой задачи указан уровень сложности и есть материалы для ознакомления с типом уязвимости, её эксплуатацией и т.д.
4 - На stepik.org был (есть?) бесплатный тематический курс (помимо теории, помнится, были элементарные задачки для практики). UPD.:https://stepik.org/course/127/promo
С изучения проблем безопасности в вебе и чтении OWASP. Много статей публикуется почти ежедневно, но большинство на английском и уже много актуального и нового на китайском.