Sí, puede , por ejemplo usando:
- Ajax
- Una referencia a un archivo JS o css externo
- Un iframe
- o incluso una redirección HTTP 302.
El malware en línea lo puede usar para generar tráfico para un DDoS Attack .
Tenga en cuenta que todos estos se utilizan con fines legítimos en muchos (la mayoría) de los sitios web y, por lo tanto, no implican un comportamiento malicioso.
En respuesta a su edición: Sí, Ajax puede hacer esto, aunque no creo que ya haya visto esto en Inyecciones SQL (mientras que XSS o XSRF, por ejemplo, se explotan con frecuencia de esta manera ). Otras posibilidades podrían incluir que su servidor haya sido comprometido y sea utilizado como proxy por un atacante para realizar ataques de Inyección de SQL, o que esté ejecutando un nodo de salida Tor que sea utilizado por un atacante (lo sepa o no).