Насчет сроков:
Если впахивать по 4–6 часов в день, то через полгода-год уже можно ловить первые баги на хайповых платформах вроде HackerOne. Но это если:
Не просто смотреть видосы на ютубе, а реально гонять CTFшки (HackerLab, HTB, THM).
Залипать в Burp Suite, nmap и SQLmap, пока не начнешь видеть HTTP-запросы во сне.
Погрузиться в OWASP Top 10 так, чтобы объяснять XSS и SQLi даже своей кошке.
А дальше — еще 3–6 месяцев на раскачку:
Качаешь скилл написания отчетов (без этого даже крутой баг закроют как спам).
Учишься скаупить цели и не лезть туда, где тебя забанят на первом же запросе.
Стартуешь с low-hanging fruit: ищешь баги в мелких проектах или публичных программах с низким приоритетом.
Первые выплаты могут быть как дошик — 50–500$, но это только начало. Главное — не сдаваться, когда кажется, что все баги уже съели кибермонстры с 10-летним опытом.