Насчет сроков:
Если впахивать по 4–6 часов в день, то через полгода-год уже можно ловить первые баги на хайповых платформах вроде HackerOne. Но это если:

• Не просто смотреть видосы на ютубе, а реально гонять CTFшки (HackerLab, HTB, THM).
  
• Залипать в Burp Suite, nmap и SQLmap, пока не начнешь видеть HTTP-запросы во сне.
  
• Погрузиться в OWASP Top 10 так, чтобы объяснять XSS и SQLi даже своей кошке.

А дальше — еще 3–6 месяцев на раскачку:

• Качаешь скилл написания отчетов (без этого даже крутой баг закроют как спам).
  
• Учишься скаупить цели и не лезть туда, где тебя забанят на первом же запросе.
  
• Стартуешь с low-hanging fruit: ищешь баги в мелких проектах или публичных программах с низким приоритетом.

Первые выплаты могут быть как дошик — 50–500$, но это только начало. Главное — не сдаваться, когда кажется, что все баги уже съели кибермонстры с 10-летним опытом.

Фундамент знанийТут без хардкора не получится:

1. Сети: Базовый TCP/IP, HTTP-статусы (200-й — наш любовь, 403-й — боль).
   
2. Веб: HTML/CSS/JS на уровне «прочитать чужой код», бэкенд (хоть немного PHP/Python), SQL-инъекции как таблицу умножения.
   
3. Linux: Умение не сломать систему за 5 минут в терминале.
   
4. Инструменты: Burp Suite — твой новый лучший друг, nmap — второй друг, Wireshark — третий (пока не перегрузишь мозг).

Старт для практики:

• Набивай руку на HackerLab (там как детский сад, но с пушками).
  
• Ещё круто на Hack The Box — тут уже придется гуглить каждый шаг, и это ок.
  
• Зависай в PortSwigger Academy — лучшая прокачка для вебщика.