Главное — не торопиться и не прыгать сразу на сложные баги. Лучше вдумчиво копаться в простых уязвимостях, понять, как всё работает «под капотом». Особенно полезно освоить Burp Suite и понять HTTP-запросы, без этого процесс сильно тормозит. И про автоматизацию тоже не забывайте, но только когда базу уже хотя бы немного покрыли.