portswigger, курс на античат sql injection master, bWAPP тебе выше посоветовали, tryHackMe и т.д. Насчет багбаунти не знаю, а так уязвимость встречается довольно часто на локальных ресурсах.