Durante un CTF, ho avuto l'intuizione che ci fosse un punto di ingresso per l'iniezione SQL cieca nell'URL. Ho provato a iniettare:
' UNION SLEEP(5);--
Mi aspettavo di ricevere una risposta dopo 5 secondi, ma in realtà non ne ho ricevuto nessuno. Ho un timeout.
Quindi ci fu sicuramente un'iniezione cieca a questo punto, ma perché ho avuto un timeout quando l'ho fatto? In che modo una simile iniezione può impedire l'invio di una risposta?
Non penso di poter spegnere il sistema con questo tipo di payload.