Точно, с простого лучше начинать. Я тоже пару раз пытался с автоматами — сплошной шум и путаница. Ручное тестирование и мелкие проекты реально помогают уловить логику уязвимостей. Главное — смотреть на обработку данных и понимать, что происходит при вводе разных символов. Потом уже с этим опытом проще автоматизировать и углубляться.