Las inyecciones de SQL ciegas basadas en el tiempo infieren los resultados de la consulta indicando a la base de datos que espere una cantidad de tiempo específica. Según el tiempo de respuesta, el atacante puede concluir si la declaración es VERDADERA o FALSA.

Vamos a coger como ejemplo esta web, que usa un parámetro user en la URL

Vamos a probar primero una SQLi basada en booleanos (True or False):

http://192.168.50.16/blindsqli.php?user=offsec**' AND 1=1 -- //**

Dado que 1=1 siempre será VERDADERO, la aplicación devolverá los valores solo si el usuario está presente en la base de datos. Usando esta sintaxis, podríamos enumerar toda la base de datos para otros nombres de usuario o incluso extender nuestra consulta SQL para verificar datos en otras tablas.

Podemos lograr el mismo resultado usando una carga SQLi basada en el tiempo:

http://192.168.50.16/blindsqli.php?user=offsec' AND IF (1=1, sleep(3),'false') -- //

En este caso, agregamos una condición IF que siempre será verdadera dentro de la declaración misma, pero devolverá falso si el usuario no existe, asi podemos llevar a cabo una enumeración de usuarios, y contraseñas.