Идёшь сюда vulnhub.com, ищешь виртуалки с вебом, гуглишь прохождение. Там и последовательность пентеста увидишь и весь инструментарий.

https://github.com/andresriancho/w3af этим можешь просканить сайт, он вроде присутствует в кали

Лучше конечно руками и головой поработать, здесь тебе помогут:

https://github.com/qazbnm456/awesome-web-security

https://www.owasp.org/images/9/96/OW...10-2017-ru.pdf