Вообще правильно говорят, что Вы должны знать "как защитить". Т.е. в первом приближении должен представлять какие меры должны быть предприняты чтобы АИС не была взломана извне, и изнутри.
Для каждой АИС эти меры будут свои, но общие методики (типа хранение конфиденциальных сведений в одних руках, шифрование и т.п) должны быть везде одни те же.
Взлом всяких Wordpress - это конечно хорошо, но немного не то. Вы должны представлять каким образом злоумышленник может получить доступ к конфиденциальным сведениям и функционалу системы, вы не должны это делать сами. Конечно для тренировки, чтобы пощупать -- это подойдет, но слишком много времени для этого нужно. Вам нужно хотя бы изучать исходники, представлять что и как, короче быть полноценным веб-программистом.
Т.е. вот так придти на фирму и сказать, ребята у вас система дырявая у вас не получится. Вы должны будете изнутри прощупать эту систему, либо только методом тыка черного ящика узнавать что работает, а что нет.
Немного сумбурно. Но если одним словом:
вы должны представлять какие организационные меры предпринять чтобы защитить ИС. Потому что, не предприняв их, при любой маломальски-неизвестной уязвимости вы все равно попадете впросак.
Простой
Средний
