Hola a todos, tengo una pregunta.
estoy realizando una auditoria con OWASP el cual me detecta como amenaza un ataque por inyección remota de comandos OS, dándome una URL como la siguiente en la petición GET

https://misitio.com/crear.php?id=167%27%3Bstart-sleep+-s+15&nombre=11

Entiendo que se está forzando al servidor a realizar un sleep de 15 segundos, pero el problema es que, si esto estuviera ocurriendo en realidad, la página tardaría en cargar esos 15 segundos, pero no es así, incluso si remplazo el 15 por 60 o 120 aun así carga de inmediato

Como información adicional, en informe del error en el apartado evidencia, no aparece nada.
¿Alguien sabe por qué ocurre esto?
¿Alguien tiene alguna idea?  será posible que sea una alerta en falso del OWASP?