Até tem uma distribução Linux, o Metasploitable, que ajuda a fazer e entender como funciona SQL Injection, e outras vulnerabilidades nos sistemas. Ao rodar o sistema é possível abrir páginas web com algumas vulnerabilidades e sair testando e descobrindo como cada uma funciona.