以個人經驗，首先你要熟知web安全常見漏洞，比如SQL注入，?XSS，csrf，弱口令，命令執行等等等等漏洞你也要會常用的測試工具，最好自己有一定的能力去寫滲透小工具，而且一定要有自己的實戰經驗，可以去烏云漏洞庫看看那些已經公開的漏洞學習姿勢，但是做滲透測試和挖洞還是有一定區別的，他會需要你形成一份完整的滲透測試報告（授權情況下）等等，可以去看一些書比如《白帽子講web安全》《滲透測試從入門到精通》等等，開始可以通過看書，到后來你就要去google上獲取更多的知識。

學習幾種基本的腳本語言。從一些簡單的開始，比如說：vbs或Bash。
對取證有一定的了解。這會更好的掩蓋你蹤跡， 這對你的影響是顯然的。
好好的學習一門編程語言。找出你想讓它自動化完成的東西或者一些簡單的你想創造的東西。比如端口掃描，你可以找一些類似的工具，看看它們的源代碼，試著做出自己的端口掃描工具。學習的還有很多，huyoukeji。cn學習少量的數據庫。學習數據庫并了解它們是怎么工作的，下載各種數據庫看看，查找資料并試著設計一個簡單的數據庫，不用成為數據庫專家，了解基本知識將有很大的幫助。