一部のクライアントがアカウントでの不正なアクティビティを報告しているため、セキュリティアナリストは、会社のAPIサーバーからのネットワークパケットキャプチャを確認しています。キャプチャファイルの一部を以下に示します。
POST /services/v1_0/Public/Members.svc/soap <s:Envelope + xmlns:s = "http://schemas.s/soap/envelope/"> <s:Body> <GetIPLocation + xmlns = "http: //tempuri.org / ">
<request + xmlns:a = "http://schemas.somesite.org" + xmlns:i = "http://www.w3.org/2001/XMLSchema-instance"> </ s:Body> </ s :Envelope> 192.168.1.22 --- api.somesite.com 200 0 1006 1001 0 192.168.1.22 POST /services/v1_0/Public/Members.svc/soap << a:Password> Password123 </ a:Password> <a: ResetPasswordToken + i:nil = "true" /> <a:ShouldImpersonatedAuthenticationBePopulated + i:nil = "true" /> <a:Username>
[email protected] </ a:Username> </ request> </ Login> < / s:Body> </ s:Envelope> 192.168.5.66 --- api.somesite.com 200 0 11558 1712 2024 192.168.4.89 POST /services/v1_0/Public/Members.svc/soap <s:Envelope + xmlns:s = "http://schemas.xmlsoap.org/soap/envelope/"> <s:Body> <GetIPLocation + xmlns = "http://tempuri.org/"> <a:IPAddress> 516.7.446.605 </ a :IPAddress> <a:ZipCode + i:nil = "true" /> </ request> </ GetIPLocation> </ s:Body> </ s:Envelope> 192.168.1.22 --- api.somesite.com 200 0 1003 1011 307 192.168.1.22 POST /services/v1_0/Public/Members.svc/soap <s:Envelope + xmlns:s = "http://schemas.xmlsoap.org/soap/envelope/"> <s:Body> < IsLoggedIn + xmlns = "http://tempuri.org/"> <request + xmlns:a = "http://schemas.datacontract.org/2004/07/somesite.web+xmlns:i="http://www.w3 org / 2001 / XMLSchema-instance "> <a:Authentication> <a:ApiToken> kmL4krg2CwwWBan5BReGv5Djb7syxXTNKcWFuSjd </ a:ApiToken> <a:ImpersonateUserId> 0 </ a:ImpersonateUserId> <a:LocationId> 161222 </ a <a:NetworkId> 4 </ a:NetworkId> <a:ProviderId> '' 1 = 1 </ a:ProviderId> <a:UserId> 13026046 </ a:UserId> </ a:Authentication> </ request> </ IsLoggedIn> </ s:Body> </ s:Envelope> 192.168.5.66 --- api.somesite.com 200 0 1378 1209 48 192.168.4.89次のうち、クライアントのアカウントがどのように侵害されたかを説明している可能性が最も高いのはどれですか。