veo ya los 2 temas que tienes por ahí sobre este tipo de vulnerabilidades XD no hay mucha opción te toca a mano, creo no hay programas mágicos que hagan todo el trabajo (tal vez me equivoco, de todas formas no me dedico a esta parte, sino a proteger )...

primero tienes que mentalizarte bien cuales son los principios en los que se basa cada error...

xss en publicaciones de usuarios  (posts o chat) no filtradas, a su vez también tienes que ver que permite pasar y que tipo de xss puedes hacer

sqli se da en parámetros para la base de datos no filtrados, pueden ser links, peticiones ajax o cualquier cosa que vaya a la db

como notar cada una?

xss lo verás al publicarlo... o por lo menos en el codigo fuente...
sqli al enviar la peticion esperas cualquier comportamiento no esperado...

actualmente la mayor parte de las paginas están protegidas contra estos errores ya que son muy básicos al punto que normalmente son errores del programador, una pagina pensada, planeada o que use un framework, normalmente está protegida contra estas cosillas...

te lo ordeno diferente XD (a menos que especifiques más esto responde completamente)