Parece que el sitio web es vulnerable a un tipo especial de inyección de SQL llamado Inyección de SQL ciego .
Especialmente
Este ataque se usa a menudo cuando la aplicación web está configurada para mostrar mensajes de error genéricos, pero no ha mitigado el código que es vulnerable a la inyección de SQL.
y
Cuando la base de datos no envía datos a la página web, un atacante se ve obligado a robar datos al hacerles una serie de preguntas verdaderas o falsas. Esto hace que explotar la vulnerabilidad de inyección de SQL sea más difícil, pero no imposible.
probablemente sean relevantes y esclarecedores.
O como una persona más experimentada que yo pondría esto:
En otras palabras, la falta de una respuesta o un retraso en una respuesta puede ser una respuesta en sí misma. Existen herramientas para hacer uso de esto y traducir respuestas verdaderas / falsas en respuestas significativas en el transcurso de muchas solicitudes.
Por otro lado, un retraso puede ser solo un retraso; No se garantiza que esto sea una inyección.