Привет.

По моему опыту если есть желание разбираться в багах веб приложений то нужно иметь основные понятиях о HTML+CSS+JS затем уже основы верстки на PHP. Ruby, Python, Perl на данных этапах вряд ли пригодятся. Потом советую почитать о Sql Injection и про тулзу SqlMap. С помощью GHDB найти уязвимые сайты и потренироваться. Советую также поработать с брутом админок и почтовиков на вебках - тулза hydra.

Посмотри софт для анализа вебок - Aqunetix, BurpSuit, Owasp Zap.

Посмотри уязвимости в CMS (WP, Joomla, Drupal) - для WP тулза WPscan.

Затем можно поучить основы JavaScript.

Также имеется множество уязвимостей типа XSS. Советую тоже в них разобраться и провести законченный вариант пентеста.

А также читай интересные темки на этом форуме.

Ну как-то так.