Соглашусь, что с практикой всё становится понятнее. Просто делай маленькие шаги — например, тестируй XSS или SQLi на простых страничках. Помогает понять, как данные проходят от пользователя к серверу и где затыки. Без стресса, со своими примерами — так легче усваивается.