qualsiasi cosa in linea di massima può essere oggetto di attacco, soprattutto se vi è un qualche canale di comunicazione (passaggio di dati via POST/GET, chiamate AJAX, semplici chiamate HTTP, passaggio di parametri in query database, ecc. )..la risposta è sì