смотри, инъекции передаются в параметре, так? (я про большинство случаев). т.е. мы должны найти параметры, передаваемые скрипту, подставлять в них гадости.
Для сканера самое сложное найти параметры (ИМХО) Хотя трин в своем сканере это с легостью сделал) да и гуглом тоже никто не запрещает воспользоваться)
т.е. получили лист с переменными и ссылками на скрипты. спрашивается, зачем сканер? быстрее руками проверить ) только возникает одно но! ручками мы будем слать данные гетом, что палевно в логах... а вот другими прогами или сканером можно отправлять данные постом, что уже есть гуд. а написать такой сканер особого труда не составляет (писал когда-то ) ).
Возникает еще 1 трудность - как понять, что пага уязвима? ну.. сканить структуру, или искать текст, который должен вывести инклуд но глазами все же точнее.
Ну и наконец, накой тебе просто так искать пшп инклуды? ради кайфа? тогда напиши свой сканер и не парься) хотя готовые экземпляры видел... названия не помню(забыл специально )