Desain Attack Tree Berdasarkan Eksploitasi Dan Analisis Graphql Menggunakan Teknik Injection Dengan Metrik Time
Abstract
Abstrak— Graph Query Language adalah bahasa query yang
menentukan klien berinteraksi dengan API. GraphQL juga
memiliki titik kelemahan yang dimana dapat menimbulkan
kerentanan seperti kerentanan injeksi. Penelitian ini dilakukan
dengan tujuan untuk menemukan teknik injeksi mana yang
paling efektif dengan dua mode keamanan yang berbeda
dengan melakukan perbandingan teknik injeksi mana yang
membutuhkan waktu lebih cepat dengan kedepannya dapat
menemukan solusi keamanan. Dalam penelitian eksploitasi
menggunakan tiga teknik injeksi yang berbeda yaitu Command,
Log dan Spoof Injection. Eksploitasi terhadap GraphQL
menggunakan teknik injeksi dalam bentuk attack tree dengan
tujuan untuk mengetahui relasi eksploitasi attack tree
berdasarkan metrik time. Dari waktu eksploitasi tiga teknik
injeksi tersebut telah didapatkan bahwa spoof injection
membutuhkan waktu paling singkat dengan mode sebelum
hardening dengan total waktu 32,63s. Dan teknik injeksi yang
membutuhkan waktu paling lama yaitu command injection
dengan total waktu 60,15s. Pada keamanan setelah hardening,
terjadi perubahan waktu yang dimana log injection berada di
urutan pertama dengan jumlah waktu 38,19s dan pada urutan
terakhir, command injection dengan jumlah waktu 53.52s.
Sehingga dapat disimpulkan bahwa serangan injeksi yang
efektif sebelum hardening adalah spoof injection sedangkan
serangan injeksi yang efektif setelah hardening adalah log
injection, dimanaserangan injeksi tersebut dapat ditemukan
solusi yang paling efektif.
Kata kunci— attack tree, eksploitasi, graphql, injeksi, time
References
[1] G. Brito and M. T. Valente, .REST vs GraphQL: A Controlled Experiment,= Mar. 2020, [Online]. Available: http://arxiv.org/abs/2003.04761
[2] S. Serbout, F. Di Lauro, and C. Pautasso, .Web APIs Structures and Data Models Analysis.= [Online]. Available: https://bigqueryconnection.googleapis.
[3] A. Belhadi, M. Zhang, and A. Arcuri, .Evolutionarybased automated testing for GraphQL APIs,= in GECCO 2022 Companion - Proceedings of the 2022 Genetic and Evolutionary Computation Conference, Association for Computing Machinery, Inc, Jul. 2022, pp. 778-781. doi: 10.1145/3520304.3528952.
[4] M. I. Rusdi and D. Prasti, .Penetration Testing Pada Jaringan Wifi Menggunakan Kali Linux,= 2019.
[5] K. Shaukat, S. Luo, S. Chen, and D. Liu, .Cyber Threat Detection Using Machine Learning Techniques: A Performance Evaluation Perspective,= in 1st Annual International Conference on Cyber
Warfare and Security, ICCWS 2020 - Proceedings, Institute of Electrical and Electronics Engineers Inc., Oct. 2020. doi: 10.1109/ICCWS48432.2020.9292388.
[6] J. H. B. Johny, W. A. F. B. Nordin, N. M. B. Lahapi, and Y. B. Leau, .SQL Injection Prevention in Web Application: A Review,= in Communications in Computer and Information Science, Springer Science and Business Media Deutschland GmbH, 2021, pp. 568-585. doi: 10.1007/978-981-16-8059-5_35.
[7] W. Wiegel Supervisors Jorg Keller FernUniversitat in Hagen Klaus Biss Thomas Schmidt, .Development of a GraphQL-based API for querying security advisories for Common Security Advisory Framework (CSAF),= 2023.
[8] Z. Pan, Y. Chen, Y. Chen, Y. Shen, and Y. Li, .LogInjector: Detecting Web Application Log Injection Vulnerabilities,= Applied Sciences (Switzerland), vol. 12, no. 15, Aug. 2022, doi: 10.3390/app12157681.
[9] N. Agarwal, .Content Spoofing via compounded SQL Injection,= 2017. [Online]. Available: https://www.researchgate.net/publication/321096875
[10] L. Kohnfelder, E. Heymann, and B. P. Miller, .Introduction to Software Security Chapter 3.8.2: Command Injections,= 2018.
[11] A. R. Irawan, A. Widjajarto, and M. Fathinuddin, .Implementasi dan Analisis Attack Tree pada Aplikasi DVWA Berdasar Metrik Time dan Probability,= 2023.
[12] H. Singh Lallie, K. Debattista, and J. Bal, .Computer Science Reviews A Review of Attack Graph and Attack Tree Visual Syntax in Cyber Security,= 2019. [Online]. Available: http://wrap.warwick.ac.uk/131160
[13] T. R. Ingoldsby, .Attack Tree-based Threat Risk Analysis,= 2009. [Online]. Available: www.amenaza.com
