Считаю, что самый простой путь — просто начать решать базовые задачи по SQL-инъекциям и XSS, без заморочек с инструментами. Главное — понять логику уязвимостей и попробовать их воспроизвести на локалке, так на практике быстрее всё заходит. Чем больше разбираешься, тем проще дальше будет.