Если решил заниматься web-CTF, сразу скажу — не стоит прыгать в сложные баги, пока не освоишь базу. Начни с простого: понимание HTTP(S), как работают куки, сессии, основы HTML и JavaScript. Причина — многие задачи строятся именно на тонкостях этих протоколов и механик.
Кто работал с этим на практике? Интересует именно реальный опыт, а не общая теория.