Leyendo libros, cosas por el foro y buscando todo lo que no entiendas para ver de que va la historia.


Hay muchas páginas online o proyectos descargables y "laboratorios". Por ejemplo puedes bajarte el Maven Web Security Dojo para importar en el virtualbox. Te trae un montón de proyectos de aplicaciones con fallos de seguridad, documentación y demás.
En el foro de dudas generales tienes un post con libros.