Implementasi dan Analisis Attack Tree pada Aplikasi DVWA Berdasar Metrik Time dan Skill Level
Abstract
Abstrak - Attack tree dapat dirumuskan berdasarkan
langkah-langkah eksploitasi yang terjadi pada aplikasi web.
Tujuan dari penelitian ini adalah untuk memahami relasi
attack tree dan karakter eksploitasi berdasarkan metrik time
dan skill level. Platform untuk pengujian eksploitasi
menggunakan DVWA dan disusun menjadi attack tree.
Penyusunan attack tree dengan kondisi terlindungi dan tidak
terlindungi WAF. Attack tree disusun berdasarkan lima
kerentanan yaitu SQL Injection, XSS (Reflected), Command
injection, CSRF, dan Brute force. Hasil analisis dengan
kondisi tidak dilindungi WAF menyimpulkan XSS (Reflected)
attack tree menempati urutan pertama dengan skor 131,92.
SQL Injection attack tree menempati urutan terakhir dengan
skor 1727,56. Sedangkan dengan WAF SQL Injection attack
tree menempati urutan pertama dengan skor 54. Brute force
attack tree menempati urutan terakhir dengan skor 319,51.
Kelanjutan penelitian dapat berupa merinci langkah
eksploitasi menggunakan CVSS score sebagai perhitungan
skill level dan pengukuran parameter menggunakan IDS
sebagai salah satu fitur firewall.
Kata kunci: attack tree, eksploitasi, metrik, time, skill
level
References
. Dhiatama Ayunda, K., Widjajarto, A., & Budiono, A.,
=Implementation and Analysis ModSecurity on WebBased Application with OWASP Standards"., Jurnal
Teknik Informatika dan Sistem Informasi, Vol.8, No.3,
pp. 1638-1650, September 2021.
. Kuipers, L. (2020). Analysis of Attack Trees: fast
algorithms for subclasses.
. Odun-Ayo et al., 8Evaluating Common
Reconnaissance Tools and Techniques for
Information Gathering9, Journal of Computer
Science, vol. 18, no. 2, pp. 103-115, 2022, doi:
3844/jcssp.2022.103.115.
. D. Bhatt, 8Modern Day Penetration Testing
Distribution Open Source Platform-Kali LinuxStudy Paper9, INTERNATIONAL JOURNAL OF
SCIENTIFIC & TECHNOLOGY RESEARCH, vol. 7,
, [Online]. Available: www.ijstr.org
. S. Tyagi and K. Kumar, 8Evaluation of static web
vulnerability analysis tools9, in PDGC 2018 - 2018
th International Conference on Parallel, Distributed
and Grid Computing, Institute of Electrical and
Electronics Engineers Inc., Dec. 2018, pp. 1-6. doi:
1109/PDGC.2018.8745996.
. Zavarsky Sergey Butakov, P., David Sobola, T.,
Supervisor Edgar Schmidt, P., Schmidt, E., Dean, Ds.,
Zavarsky, P., & Butakov, S. (2020).
WEB APPLICATION FIREWALLS Co-authored
by Timilehin David Sobola EXPERIMENTAL
STUDY OF MODSECURITY WEB
APPLICATION FIREWALLS Experimental
Study of ModSecurity Web Application Firewalls".
. S. Lika, R. D. P. Halim, and I. Verdian, 8ANALISA
SERANGAN SQL INJEKSI MENGGUNAKAN
SQLMAP9, POSITIF_: Jurnal Sistem dan Teknologi
Informasi, vol. 4, no. 2, p. 88, Nov. 2018, doi:
31961/positif.v4i2.610.
. Yogi Kristiawan, O., & Teknologi Bandung
Menyetujui Pembimbing, I. (2017). PERANCANGAN
DAN IMPLEMENTASI RULE BASED
DICTIONARY ATTACK PADA FUZZER WFUZZ
UNTUK MENGUJI KERENTANAN APLIKASI
WEB (Program Studi Magister Teknik Elektro).
. E. Z. Darojat, E. Sediyono, and I. Sembiring,
Vulnerability Assessment Website E-Government
dengan NIST SP 800-115 dan OWASP
Menggunakan Web Vulnerability Scanner9,
JURNAL SISTEM INFORMASI BISNIS, vol. 12, no. 1,
pp. 36-44, Sep. 2022, doi: 10.21456/vol12iss1pp36- 44
