XSS Scanner Tool 🕵🏽‍♂️

Herramienta avanzada de escaneo XSS (Cross-Site Scripting) para auditorías de seguridad web, con capacidades de evasión de WAF y generación de reportes completos.

🔍 Características principales

Detección multifacética:
- XSS reflejado y basado en DOM
- Context-aware payloads (identifica el contexto de inyección)
- Técnicas avanzadas de evasión de WAFs (Cloudflare, Cloudfront, etc.)
Motor inteligente:
- Generación dinámica de payloads
- Detección automática de WAFs
- Modo headless con Puppeteer/Playwright
Reporting profesional:
- Reportes en HTML, PDF y JSON
- Explicación detallada de vulnerabilidades
- URLs de explotación listas para pruebas.

🚀 Casos de uso típicos

Auditorías de seguridad

python main.py "https://example.com/search?q=" -w cloudflare

Pruebas de penetración

python main.py "https://testphp.vulnweb.com/artists.php?artist=" -v

Investigación de WAFs:

python main.py "https://testphp.vulnweb.com/artists.php?artist=" -v

📌 Requisitos técnicos

Python 3.11+
Navegador Chromium/Chrome instalado
Dependencias: playwright, argparse, pyfiglet

⚠️ Consideraciones éticas

Esta herramienta debe usarse únicamente en:

Sitios propios con permiso explícito
Entornos de pruebas controlados
Programas de bug bounty con autorización
El uso no autorizado en sistemas ajenos es ilegal.

⚙️ Instalación

Clona el repositorio:

git clone https://github.com/HackUnderway/xss_scanner.git

cd xss_scanner

pip install -r requirements.txt

Instalar navegadores (Chromium)

playwright install chromium

Verificar instalación

python -c "from playwright.sync_api import sync_playwright; sync_playwright().start()"

Ayuda/Guía

python main.py -h

▐▄• ▄ .▄▄ · .▄▄ · 
 █▌█▌▪▐█ ▀. ▐█ ▀. 
 ·██· ▄▀▀▀█▄▄▀▀▀█▄
▪▐█·█▌▐█▄▪▐█▐█▄▪▐█
•▀▀ ▀▀ ▀▀▀▀  ▀▀▀▀
XSS Scanner Tool v2.0
by @HackUnderway

Features:
• DOM-based XSS detection                                                                                                 
• Reflected XSS detection                                                                                                 
• WAF bypass techniques                                                                                                   
• Smart payload generation                                                                                                
• Comprehensive reporting                                                                                                 

usage: main.py [-h] url [-p PAYLOADS] [-v] [-w WAF]

🔎 Advanced XSS Scanner Tool v2.0

positional arguments:
  target_url            Target URL with injection point (must contain ?param=)

options:
  -h, --help            Show this help message and exit
  -p, --payloads PAYLOADS
                        Custom payload file to use
  -v, --visible         Run browser in visible mode
  -w, --waf {akamai,cloudflare,cloudfront,imperva,incapsula,wordfence,auto}
                        Specify WAF type or 'auto' for detection
  --no-smart            Disable smart payload generation

Example usage:

✅ URL MUST CONTAIN INJECTION PARAMETERS:

Basic GET scan: 
    python main.py "https://portswigger-labs.net/xss/xss.php?x="                                                          

Specify WAF type:                                                                                                         
    python main.py "https://portswigger-labs.net/xss/xss.php?x=" -w cloudflare                                            

Visible browser mode:                                                                                                     
    python main.py "https://portswigger-labs.net/xss/xss.php?x=" -v                                                       

Custom payload file:                                                                                                      
    python main.py "https://portswigger-labs.net/xss/xss.php?x=" -p config/payloads/cloudfront.txt                        

❌ Incorrect examples:                                                                                                    
    python main.py "https://portswigger-labs.net"
    python main.py "https://portswigger-labs.net/xss/xss.php?x=test"

Features:
  • GET method support
  • Automatic WAF detection
  • Context-aware payloads
  • WAF-specific bypass techniques
  • Smart payload generation
  • Comprehensive reporting

🚀 Uso

Archivo personalizado de payloads:

python main.py "https://portswigger-labs.net/xss/xss.php?x=" -p config/payloads/cloudfront.txt

Créditos de payloads usados:

https://github.com/gprime31/WAF-bypass-xss-payloads

https://portswigger.net/web-security/cross-site-scripting/cheat-sheet

Recursos para ver formatos JSON:

https://jsonscope.com/

https://jsoncrack.com/editor

https://2x2xplz.github.io/json_visualizer/default.htm

El proyecto está abierto a colaboradores.

DISTRIBUCIONES SOPORTADAS

Distribución	Versión verificada	¿Soportado?	Estado
Kali Linux	2025.1	si	funcionando
Parrot Security OS	6.2	si	funcionando
Windows	11	si	funcionando
BackBox	9	si	funcionando
Arch Linux	2024.12.01	si	funcionando

SOPORTE

Preguntas, errores o sugerencias: info@hackunderway.com

LICENSE

XSS Scanner tiene licencia.
Consulta el archivo LICENSE para más información.

CYBERSECURITY RESEARCHER

Victor Bancayan - (CEO at Hack Underway)

🔗 ENLACES

Fanpage: https://www.facebook.com/HackUnderway
X: https://x.com/JeyZetaOficial
Web site: https://hackunderway.com
Youtube: https://www.youtube.com/@JeyZetaOficial

🌞 Suscripciones

Afíliate:

Jey Zeta

from made in with by: Victor Bancayan, if you want Donate

Name	Name	Last commit message	Last commit date
Latest commit History 4 Commits 4 Commits
assets	assets
config	config
core	core
reports	reports
templates	templates
tests	tests
utils	utils
.gitignore	.gitignore
LICENSE	LICENSE
README.md	README.md
__init__.py	__init__.py
default.txt	default.txt
main.py	main.py
requirements.txt	requirements.txt

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Repository files navigation

XSS Scanner Tool 🕵🏽‍♂️

🔍 Características principales

🚀 Casos de uso típicos

📌 Requisitos técnicos

⚠️ Consideraciones éticas

Esta herramienta debe usarse únicamente en:

⚙️ Instalación

Instalar navegadores (Chromium)

Verificar instalación

Ayuda/Guía

🚀 Uso

Escaneo básico con método GET:

Especificar el tipo de WAF (Firewall de Aplicaciones Web):

Modo visible del navegador:

Archivo personalizado de payloads:

Créditos de payloads usados:

Recursos para ver formatos JSON:

DISTRIBUCIONES SOPORTADAS

SOPORTE

LICENSE

CYBERSECURITY RESEARCHER

🔗 ENLACES

🌞 Suscripciones

About

Uh oh!

Releases

Packages

Uh oh!

Contributors

Uh oh!

Languages

Search code, repositories, users, issues, pull requests...

Folders and files

Latest commit

History

Repository files navigation

XSS Scanner Tool 🕵🏽‍♂️

🔍 Características principales

🚀 Casos de uso típicos

📌 Requisitos técnicos

⚠️ Consideraciones éticas

Esta herramienta debe usarse únicamente en:

⚙️ Instalación

Instalar navegadores (Chromium)

Verificar instalación

Ayuda/Guía

🚀 Uso

Escaneo básico con método GET:

Especificar el tipo de WAF (Firewall de Aplicaciones Web):

Modo visible del navegador:

Archivo personalizado de payloads:

Créditos de payloads usados:

Recursos para ver formatos JSON:

DISTRIBUCIONES SOPORTADAS

SOPORTE

LICENSE

CYBERSECURITY RESEARCHER

🔗 ENLACES

🌞 Suscripciones

About

Topics

Resources

License

Uh oh!

Stars

Watchers

Forks

Releases

Packages 0

Uh oh!

Contributors

Uh oh!

Languages

Packages