¿Este script es vulnerable a XSS? Si es así, ¿cómo puedo explotarlo?
<script>
//<![CDATA[
var _gaq=[['_setAccount','UA-34064858-1'],['_trackPageview']];
(function(d,t){var g=d.createElement(t),s=d.getElementsByTagName(t)[0];
g.src=('https:'==location.protocol?'//ssl':'//www')+'.google-analytics.com/ga.js';
s.parentNode.insertBefore(g,s)}(document,'script'));
//]]>
</script>
Aquí puedes ver location
, supongo que podemos explotarlo.