本发明公开了一种SQL注入漏洞测试与验证方法及系统，基于JavaEE的WebApp框架，该方法通过用户输入URL，系统对URL进行解析或根据已知的HTTP request，自动从中提取参数和注入点，然后用户根据自身需要，选择注入点或自定义注入点加入请求中，并选择请求模式、请求协议和数据库服务器，系统从数据库中载入绕过技术配置、规则池中静态规则和动态规则数据，经过预处理后，由多线程管理器分配线程，交由扫描管理器进行SQL注入扫描，实现在保证自动化程度的前提下，降低漏报率。另外，本发明基于实际交互的HTTP报文，可自动识别报文中所有可能存在的注入点，也可自定义注入点，实现半自动化漏洞检测，可实现检测任何区域的SQL注入漏洞，进一步的降低漏报率。