Как то так. У веб сервиса должна быть документация - основные функции, какие кнопки и цвета используются, сколько выдерживает нагрузки и т.д. Тестирование - сравнение реального состояния с документацией. Для поиска уязвимостей придется писать незаконный софт - наказуемо :).
Вообще вакансий много для автоматизаторов, в том числе и для мобильного софта.
Книги/видео -
https://scanlibs.com/?s=selenium
Теория тестирования -
https://www.youtube.com/watch?v=3MBT9O6i0jk&list=P...
Послушать -
radio-qa.com
Поиск уязвимостей -
https://www.mavensecurity.com/resources/web-securi...
Знать - англ.яз., линукс, bash/python, из чего состоит веб. Устроить у себя виртуальную лабораторию, накатывать старые версия софта - магазины например, пытаться использовать известные уязвимости. Изучить самые известные закрытые уязвимости.
