Esse tipo de vulnerabilidade pode estar em tantos lugares que nós nem imaginamos... Uma vez em um cliente, eu precisava de uma informação provinda de uma API do mesmo que consistia de realizar um POST e essa informação vinha no response. Entretanto eu não tinha acesso a esse POST mas sim ao GET (que em teoria traria outra informação) mas que consegui burlar ao fazer um SQL Injection através do query parameter. Foi despretencioso, mas pior que deu certo. Cuidado redobrado com nossos sistemas!