Estude, e muito..
o hacking é algo interessante e vem crescendo com grande força.
como a tendência está sendo as empresas sairem do modelo local para a nuvem cresce também a necessidade de pessoas qualificadas para desenvolver e proteger sistemas.
Eu recomendo a voce olhar o https://owasp.org/ um site que reúne todas as vulnerabilidades mais reconhecidas.
escolhe uma e estude, tem sistemas que a comunidade disponibiliza qie são vulneráveis para esse objetivo de tentar a invasão.
grandes atacantes utilizam o hackerone para praticar a habilidade em grandes empresas em troca de recompensa e reconhecimento.
O principal é, sempre mantenha se no caminho correto, só invada sistemas se voce possuir autorização e evite sempre fazer qualquer tipo de modificação ou exposição dos dados.
Se conseguir invadir, consulte a empresa como ela quer ser avisada, e no fim destrua os dados que voce coletou e evite armazenar como recompensa.
A recompensa válida é o reconhecimento da empresa, seja por um obrigado ou por meio de pagamento.