По поводу практики: тестирование на проникновение веб-приложения по owasp top10.
А вообще можно совместить с мсэ веб-приложений, на рынке ИБ в РФ - вполне актуальная тенденция, сейчас российские вендоры начали активно писать под кальку с западных свои вафы или просто подставляют свою графическую оболочку :)
Но лучше всего проконсультироваться с Вашим научником.