以个人经验，首先你要熟知web安全常见漏洞，比如SQL注入， XSS，csrf，弱口令，命令执行等等等等漏洞你也要会常用的测试工具，最好自己有一定的能力去写渗透小工具，而且一定要有自己的实战经验，可以去乌云漏洞库看看那些已经公开的漏洞学习姿势，但是做渗透测试和挖洞还是有一定区别的，他会需要你形成一份完整的渗透测试报告（授权情况下）等等，可以去看一些书比如《白帽子讲web安全》《渗透测试从入门到精通》等等，开始可以通过看书，到后来你就要去google上获取更多的知识。

学习几种基本的脚本语言。从一些简单的开始，比如说：vbs或Bash。
对取证有一定的了解。这会更好的掩盖你踪迹， 这对你的影响是显然的。
好好的学习一门编程语言。找出你想让它自动化完成的东西或者一些简单的你想创造的东西。比如端口扫描，你可以找一些类似的工具，看看它们的源代码，试着做出自己的端口扫描工具。学习的还有很多，huyoukeji。cn学习少量的数据库。学习数据库并了解它们是怎么工作的，下载各种数据库看看，查找资料并试着设计一个简单的数据库，不用成为数据库专家，了解基本知识将有很大的帮助。