下記書籍をお勧め致します。
こちらの書籍を読み、セキュリティ対策の考え方や具体的な手法が学べました。
十分、業務としても通用する内容だと思います。

• 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
  https://www.amazon.co.jp/dp/B00E5TJ120/ref=dp-kindle-redirect?_encoding=UTF8&btkr=1

また、IPAが公開しているセキュリティ対策情報も参考になるかと思います。

• 安全なウェブサイトの作り方
  https://www.ipa.go.jp/security/vuln/websecurity.html

質問文を見ていると、基本的にはサーバー側のセキュリティの話だと思うのですが、クライアント側から見た場合のセキュリティと言うのもあります。セッション管理（ユーザーがログアウトしないで接続を切った場合、クッキーをちゃんと消すとかなんとか）とか、Remember Meのような機能はつけないほうが（仕様として）いいだろうとか。細かいことが沢山あります。あと、フォーム周りはCRSF対策をするとか…。この辺、サーバーの運用者としてのセキュリティなのか、ウェブアプリ開発者としてのセキュリティなのかで、重点が変わったりもすると思います。

ぶっちゃけ、セキュリティに関して網羅しようと思ったら、それだけですごい知識を要求されてしまうので、自作するより、とりあえずフレームワークを信用して、という姿勢も「あり」なのではないかと思います。ただし、フレームワークの仕様をちゃんと把握していないと、セキュリティ的にはOFFにした方がいい機能が、デフォルトでONになってたりするのを見落としていて、しかもなんでそれがダメかすらわからない…などと言うことになりかねません。

というわけで、このご時世、分かった気になって自作をするより、自分より優秀な人たちが作成したライブラリやフレームワークの仕様を、ちゃんと理解できるまで勉強してみるというのが最短なのではないでしょうか。そういうなかで、「あー、こういうパターンもあんのか」という発見があり、それが積み重なって鼻が利くようになります。実際、知識としてあっても、自分で全部実装すると、案外見落としがちですしね…。

また、ウェブサイトに関していえば、セキュリティをテストするためのアプリケーション（オープンソースでいくつか）が配布されていたりもしますので、そういうツールで自作のサイトを「攻撃」して学ぶ、というのも実践的でよいかもしれません。その手のツールには、一通りの攻撃手法が含まれていますので、どんなやり方があるのかも学べますしね。

あと、そもそも論としてHTTPプロトコルについて学ぶ…というのがすごく大事です。フレームワークなどを使ってウェブサイトを作ると、あまりに簡単にできてしまうので見落としがちですが、背後で動いているのは、文字列を乗せたパケットが、サーバーとクライアントの間でやり取りされるというプロセスです。認証の仕組みなどについても、プロトコルが分かっていないとセキュリティもなにもないので、この辺の知識もしっかり学んでおいた方がいいと思います（たとえば、ユーザーがこの画面で、この動作をしたとき、HTTPとしてはどのような通信が背後で行わているのか？というのをちゃんと想像できる…とか）。