Хороший вопрос. И здорово, что хотя бы часть программистов началась им задаваться.
Для того, чтобы найти ошибки нужно понимать что именно ты хочешь найти.
Есть классические ошибки, которые мы все совершаем.
Вот хороший гайд с примерами от OWASP.
https://www.owasp.org/index.php/PHP_Security_Cheat...
Можно научиться находить ошибки самому натыкивая вредоносными запросами сервис. Для этого тоже есть норм гайды.
https://www.owasp.org/index.php/OWASP_Testing_Guid...
Но это касается только уязвимостей в веб-приложении.
Еще торчащие наружу уязвимые порты, слабые пароли, ошибки в конфигурации веб-сервера и приложения. Ну и специфичные баги для фреймворка и языка.
Для первого взгляда и оценки насколько все плохо можно попробовать сканеры, картина будет более-менее полной.
Из русскоязычных сервисов классный
https://metascan.ru
Из англоязычных - Acunetix, Qualys, Detectify, Tinfoil.