Cada site pode ter uma falha diferente,
As mais comuns (o que significa que provavelmente são as que você menos vai encontrar em sites, já que programadores bons evitam esses tipos de problemas) são essas:
https://seginfo.com.br/2015/12/08/as-10-vulnerabilidades-de-seguranca-mais-comuns-2/
Existem milhares de outras...
O intuito do hacker é tentar descobrir quais são, e só depois disso, de fato explorar essa falha...
Se você só quer saber como funciona e como fazer, tem esses "Guias do Hacker" que você encontra na internet, mas pra ser um profissional na área de segurança da informação é preciso alguns estudos em programação, redes de computadores, arquiteturas de sistemas, e algumas outras coisas...