- Port Swigger - крупнейшая практическая база по взлому любых приложений
- Раздел XSS на Port Swigger (30 лаб для практики)
- TryHack.me - на бесплатном аккаунте есть доступ к большому числу лаб
- Оф. сайт OWASP
- OWASP Всё о предотвращении XSS атак: гайды, правила
- Гайд по предотвращению CSRF атаки от OWASP
- Гайд против ClickJacking
Специальные уязвимые приложения (часто - виртуальные машины), которые дают разработчику попробовать самостоятельно их вскрыть