Понимаю, что на информация на русском воспринимается гораздо легче и быстрее, но на инглише гораздо больше полезного и это факт.

Рассмотри такой вариант:

1. Маст-хэв bash и python, Perl (ссылки давали выше, линк на оф сайт Перл легко найти в Гугл) - следующий пункт туда же.

2. Формально расшарить любой linux: (я работаю с Kali - просто, потому что чуть меньше года назад, когда гуглил про "хацкенг" наткнулся на мануал именно по установке Kali; Уверен, что большенство *nix ОС подойдут для этой цели не хуже, так что читай, выбирай какой нравится, ставь и вперед).

3. Различные книги (в т. ч. от Российских авторов) про web-уязвимости и т.п. это хорошо, но имхо хорошо как дополнение к тому, откуда можно черпать основную информацию, а конкретно, к прямым источникам. А что можно взять за прямой источник информации об уязвимостях - официальные (и "околоофициальные" классификации, базы и методики). Поясню про некоторые:

3.1 Неоднократно вышеуказанная RFC - база, содержащая спецификации и стандарты всего, что есть в сети и не только (примеры: Протоколы TCP/IP, UPD, концепция DNS, ARP). Хочешь понять принцип работы чего-либо - вперед туда. Есть много информации на русском. Начинай с https://ru.wikipedia.org/wiki/RFC

3.2 https://ru.wikipedia.org/wiki/Common..._and_Exposures Комментарии излишне. Просто перейди по ссылке и начинай использовать как справочник. + базы уязвимостей которые упоминали выше (но по сути одно и тоже, так как почти во всех сорсах дается классификатор CVE.)

3.3 https://www.owasp.org/index.php/OWAS...le_of_Contents Выше уже говорилось. Но опять же, как и в предыдущих двух пунктах просто гигатонны сухой технической информации, читая которую первый раз, можно сойти с ума, но, а что нам остается?)

Summary:

Все описанное выше просто рекомендации, никогда не ограничивайся тем что советуют другие. К сожалению я сам не профи, но от себя могу посоветовать:

Осваивай первые два пункта на уровне Junior, ставь ОС и начинай в соответствии с OWASP TG v4 тестировать любое web-приложение, попутно ознакамливаясь с методикой и различными уязвимостями.

Если не знаешь на чем потрениться, go ahead: hackerone.com и bugcrowd.com. Разберешься.

Ну и также полезно чекать требования к вакансиям типа: Пентестер, Специалист по ИБ, и тому подобное на hh.ru. Корпоративная среда развивается постоянно и требования к специалистам любого рода растут. В вакансиях часто указываются основные навыки, например: bash, PostgreSQL, умение писать скрипты на Python, навыки администрирования Linux/Windows, навыки тестирования web-приложений на безопасность.

Такие дела.