El servidor backend está ejecutando Tomcat 8.5 (backend Java). La URL en cuestión es:
https://website.com/application/servlet.do?currentOID=abc12300000000
Encontré que cuando doy un OID incompleto (es decir, 1 char quita), o agrego un char (es decir, un o '), el servidor lanza un error:
org.apache.ojb.broker.PersistenceBrokerSQLException: SQL failure while insert object data for class com.abc, PK of the given object is [ oid=CBA000000AAAAA], object was GroupPageTab CBA000000AAAAA, exception message is [String or binary data would be truncated.]
at org.apache.ojb.broker.accesslayer.JdbcAccessImpl.executeInsert(JdbcAccessImpl.java:243)
at org.apache.ojb.broker.core.PersistenceBrokerImpl.storeToDb(PersistenceBrokerImpl.java:1642)
at org.apache.ojb.broker.core.PersistenceBrokerImpl.store(PersistenceBrokerImpl.java:1557)
at org.apache.ojb.broker.core.PersistenceBrokerImpl.store(PersistenceBrokerImpl.java:1506)
...
y el OID CBA000000AAAAA, cambia cuando se cambia currentOID. ¿Parece que puede ser vulnerable a la inyección? No tengo experiencia en JDBC, así que no estoy seguro.