Il punto migliore in cui iniziare è OWASP (Open Web Application Security Project). Dispongono di molte risorse, tra cui la Top Ten OWASP, comprese le 10 vulnerabilità/rischi più critici per le applicazioni Web e la relativa Guida allo sviluppo del codice protetto che può essere letta online (wiki) o scaricata in PDF.
Hanno anche il Web Goat, un'applicazione Web vulnerabile che le persone possono scaricare e utilizzare per conoscere le vulnerabilità, come funzionano e l'approccio migliore per correggerle. È piuttosto interessante e viene fornito con suggerimenti e soluzioni.
Organizzano anche conferenze (controlla la sessione video del sito web, di solito pubblicano i video e le diapositive dei discorsi) ei capitoli di diverse città organizzano riunioni in cui le persone parlano di aspetti interessanti della sicurezza delle app Web. Dovresti considerare di unirti alla tua area.
È possibile tutte le informazioni nel sito web OWASP: http://www.owasp.org
Non sono sicuro di voler dire "devi scrivere codice di exploit", ma vorrei d'accordo con "devi aver riprodotto una vulnerabilità almeno una volta". Per esempio. devi aver provato 'password =" 'OR 1 = 1 "' almeno una volta per ottenere un apprezzamento per l'iniezione SQL. +1 comunque. – deceze
@deceze Se tutto ciò che puoi sfruttare è una semplice tautologia, allora questo è tutto ciò di cui puoi difendere l'antichità. Come si fa a testare una patch? – rook