OWASP 有几个很好的资源来学习 xss、sql 注入等。

我建议您查看他们的 WebGoat 项目和测试项目。这些都是帮助您入门的好资源，而且都是免费的。

WebGoat 是一个由 OWASP 维护的故意不安全的 J2EE Web 应用程序，旨在教授 Web 应用程序安全课程。在每节课中，用户必须通过利用 WebGoat 应用程序中的实际漏洞来展示他们对安全问题的理解。

目前有 30 多节课，包括处理以下问题的课程：跨站脚本 (XSS)、访问控制、线程安全、隐藏表单字段操作、参数操作、弱会话 Cookie、盲 SQL 注入、数字 SQL 注入、字符串SQL 注入、Web 服务、失败打开身份验证、HTML 注释的危险……等等！ https://www.owasp.org/index.php/OWASP_WebGoat_Project

OWASP 测试指南包括用户可以在自己的组织中实施的“最佳实践”渗透测试框架和描述测试最常见 Web 应用程序和 Web 服务安全问题的技术的“低级”渗透测试指南。 https://www.owasp.org/index.php/Category:OWASP_Testing_Project

吃点奶酪！

谷歌为此目的提供了一个很好的资源。Gruyere 是他们创建的一个网站，旨在帮助开发人员（和测试人员）解决安全漏洞。该应用程序充满了安全漏洞，谷歌已经为您编写了挑战设置来破坏该网站。真是太棒了。每个挑战都标有一种风格（黑盒、白盒、介于两者之间），代码可在本地运行，它提供提示和解决方案。所以希望它正是你想要的！

http://google-gruyere.appspot.com/

如果你想学习黑客/破解/黑帽的东西，谷歌是你的朋友，但如果你想了解有关该主题的具体信息，有安全培训计划：

https://www.eccouncil.org/certification/certified_ethical_hacker.aspx

似乎有很多程序，每个程序都出售自己的手册。

如果这太多并且您的兴趣不那么正式，您可以查看标题为“窃取网络：如何拥有_ ”的系列。亚马逊上有很多。它们的阅读和娱乐性稍轻一些，但可能有点过时了。

SANS 组织有一些很好的安全课程。 http://www.sans.org/security-training/courses.php