Rzuć okiem na metodyki pentesterów, np. "OWASP Testing Guide" oraz "Open Source Security Testing Methodology Manual" - tam zapewne znajdziesz sporo tematów do nauki.
Ad "wiem na czym polega inżynieria wsteczna" - możesz więc pomyśleć, o nauczeniu się praktycznym inżynierii wstecznej, chociaż przyznaje, że inżynieria wsteczna aż tak bardzo nie kojarzy mi się z pentestami.
Ad sieci - jak stoisz z programowaniem i socketami? To się zdecydowanie przydaje, szczególnie w połączeniu np. z Pythonem, w którym szybko można bardzo przydatne narzędzia sobie sklecić.
Hmm, no i tak w zasadzie na liście rzeczy, które znasz, nie widzę za bardzo nic związanego bezpośrednio z bezpieczeństwem IT. Więc pewnie kolejne kroki dotyczą tej działki bezpośrednio, tj. rzuć okiem na:
- bezpieczeństwo webowe (OWASP TOP10, a bardziej ogólnie: bezpieczeństwo client-side i server-side stron www)
- kryptografię i kryptoanalize, szczególnie stosowaną (hasze, hmaci, algorytmy i tryby szyfrowania, certyfikaty, pub/priv crypto, podpisy, SSL)
- bezpieczeństwo na poziomie konfiguracji systemu operacyjnego (m.in. jak szukać i jak wykorzystać potencjalne metody podniesienia uprawnień mając już dostęp do systemu)
Rzuć też okiem na te dwa posty od bardzo mądrych ludzi:
I na te kilka ode mnie:
Rzuć też okiem na różne prelekcje z konferencji bezpieczeństwa, żeby mniej więcej wiedzieć czym się zajmują obecnie osoby na scenie. Np. wczoraj skończyła się bardzo fajna darmowa konferencja, z której są nagrania (BSides Warsaw) - https://www.youtube.com/channel/UCexBIw_UJOz-H1PD9I9zkGw
Możesz również poszukać teamu CTFowego (CTFy to takie tam turnieje z hackingu) - o ile to nie do końca to samo i podejście jest trochę inne niż w pentestach, to jednak część skillsetu jest bardzo podobna. No i w ten sposób możesz poznać trochę osób, które już siedzą w bezpieczeństwie. Chyba obecnie najlepiej po prostu publicznie na jakimś forum typu 4programmers zapytać o team (nie mam pojęcia czy na forum pasji siedzi ktoś więcej ze sceny CTF).
W każdym razie powodzenia!