sqlmap полезен, но реально сложные WAFы часто его просто рубят — особенно если там обновляют правила. Тампер-скрипты зацепить сложно без понимания движка и логики приложения. Вручную протестировать через Burp или Repeater проще и быстрее понять, есть ли уязвимость, а уже потом пробовать автотулзу с нужными настройками. Если sqlmap молчит — обычно надо менять User-Agent или разбивать пейлоады, но без ручной диагностики толку мало.