Начните с изучения уязвимостей (OWASP и т.п.). Если плохо понимаете технологии, которые используются в этих уязвимостях, то надо будет эти знания углубить. Безусловно нужно знание сетей, но я не согласен с утверждениями про "прекрасный программист, сетевой инженер, админ и психолог в одном лице", просто потому что человеку проблематично все это уместить в себе. К тому же, к примеру, вам не нужно уметь писать правильный красивый код, но нужно знать как его отдельные элементы можно использовать "не по назначению". Для начала изучите протокол http, Postman и прокси для браузера отлавливащего и модернизирующего запросы.
Мне нравятся курсы от Avatao, там хорошие практические задания. Хвалят книгу "web hacking 101", хотя сам я ее так и не прочел.
Безусловно английский, информации по теме на русском практически нет.
И изучите вопрос, где собираетесь работать, я не так много видел компаний, которые заинтересованы в таких специалистах.
