Если решил заниматься web-CTF, сразу скажу — не стоит прыгать в сложные баги, пока не освоишь базу. Начни с простого: понимание HTTP(S), как работают куки, сессии, основы HTML и JavaScript. Причина — многие задачи строятся именно на тонкостях этих протоколов и механик.
Кто работал с этим на практике? Интересует именно реальный опыт, а не общая теория.
Точно, без базового понимания HTTP, куков и сессий быстро запутаешься. Простой практический опыт с этими штуками реально помогает потом не тупить на задачах типа auth bypass или XSS. Начинай с самых частых уязвимостей — с ними и быстрее войдёшь в тему.