以個人經(jīng)驗，首先你要熟知web安全常見漏洞，比如SQL注入，?XSS，csrf，弱口令，命令執(zhí)行等等等等漏洞你也要會常用的測試工具，最好自己有一定的能力去寫滲透小工具，而且一定要有自己的實戰(zhàn)經(jīng)驗，可以去烏云漏洞庫看看那些已經(jīng)公開的漏洞學(xué)習(xí)姿勢，但是做滲透測試和挖洞還是有一定區(qū)別的，他會需要你形成一份完整的滲透測試報告（授權(quán)情況下）等等，可以去看一些書比如《白帽子講web安全》《滲透測試從入門到精通》等等，開始可以通過看書，到后來你就要去google上獲取更多的知識。

學(xué)習(xí)幾種基本的腳本語言。從一些簡單的開始，比如說：vbs或Bash。
對取證有一定的了解。這會更好的掩蓋你蹤跡， 這對你的影響是顯然的。
好好的學(xué)習(xí)一門編程語言。找出你想讓它自動化完成的東西或者一些簡單的你想創(chuàng)造的東西。比如端口掃描，你可以找一些類似的工具，看看它們的源代碼，試著做出自己的端口掃描工具。學(xué)習(xí)的還有很多，huyoukeji。cn學(xué)習(xí)少量的數(shù)據(jù)庫。學(xué)習(xí)數(shù)據(jù)庫并了解它們是怎么工作的，下載各種數(shù)據(jù)庫看看，查找資料并試著設(shè)計一個簡單的數(shù)據(jù)庫，不用成為數(shù)據(jù)庫專家，了解基本知識將有很大的幫助。