Главное в web CTF — не пытаться объять необъятное сразу, а двигаться постепенно от простого к сложному. Хорошо помогает практика в средах типа DVWA или TryHackMe — там можно безопасно отрабатывать базовые уязвимости и разобраться, как работают запросы и ответы сервера. Ну и не забывай про работу с инструментами — Burp Suite реально ускоряет разбор задач.