Мне кажется, два подхода к обучению веб-безопасности — это либо с погружением в теорию и терминологию, либо сразу практическими тестами на своих стендах. Первый помогает понять суть и не метаться в догадках, второй — быстрее нарабатываешь навыки и лучше запоминаешь ошибки. Лучше комбинировать: без базы всё равно не обойтись, но практика реально ускоряет понимание.