Analisis Kerentanan Aplikasi Web terhadap SQL Injection dan XSS Berdasarkan Survei Pengguna dengan Kategori Risiko
Keywords:
Keamanan Web, SQL Injection, XSS, Random Forest, Kategori Resiko, SurveiAbstract
Serangan SQL Injection (SQLi) dan Cross-Site Scripting (XSS) masih menjadi isu krusial dalam keamanan aplikasi web modern. Penelitian ini dilakukan untuk mengevaluasi tingkat pemahaman dan praktik pengamanan yang diterapkan oleh pengembang aplikasi melalui survei yang melibatkan berbagai peran, tingkat pengalaman, serta framework pemrograman. Instrumen survei meliputi penilaian kesadaran terhadap SQLi dan XSS, penggunaan mekanisme proteksi seperti prepared statement, validasi input, output encoding, penerapan Web Application Firewall (WAF), serta hasil uji pemindaian kerentanan. Setiap responden dikategorikan ke dalam tiga tingkat risiko, yaitu Baik, Sedang, dan Buruk. Analisis data memanfaatkan algoritma Random Forest Classifier untuk mengidentifikasi keterkaitan antara kesadaran keamanan, praktik pengembangan aman, serta hasil pemindaian terhadap tingkat risiko. Model klasifikasi yang dibangun menunjukkan akurasi 100%, dengan performa sempurna dalam mengklasifikasi seluruh kategori risiko. Hasil ini menegaskan bahwa pengetahuan keamanan dan konsistensi dalam penerapan teknik mitigasi memiliki peran penting dalam menekan potensi kerentanan. Penelitian ini dapat menjadi kontribusi dalam memberikan wawasan bagi praktisi, pengembang, maupun peneliti dalam memahami pola risiko serta strategi pertahanan terhadap serangan injeksi pada aplikasi web.
Downloads
References
A. Bakır, “UniEmbed: metode penggabungan fitur NLP untuk mendeteksi serangan SQL Injection dan XSS dengan algoritma pembelajaran mesin,” Arab. J. Sci. Eng., vol. 50, no. 1, hlm. 1–15, 2025. doi: 10.1007/s13369-024-09916-4.
E. O. Oshoiribhor dan A. M. John-Otumu, “XSS-Net: pendekatan pintar berbasis machine learning untuk identifikasi Cross-Site Scripting pada aplikasi web,” Mach. Learn. Res., vol. 10, no. 1, hlm. 14–24, 2025. doi: 10.11648/j.mlr.20251001.12.
R. Hannousse, S. Yahiouche, dan M. C. Nait-Hamoud, “Kajian literatur sistematis mengenai pertahanan terhadap serangan XSS setelah dua dekade perkembangannya,” arXiv e-Prints, 2022. doi: 10.48550/arXiv.2201.12345.
J. Jahanshahi, A. Doupé, dan M. Egele, “Pendekatan analisis statis untuk mendeteksi kelemahan SQL Injection dan XSS pada sistem web,” dalam Proc. Int. Conf. Recent Adv. Innov. Eng. (ICRAIE), hlm. 1–7, 2014. doi: 10.1109/ICRAIE.2014.6909173.
M. Fu, X. Lu, B. Peltsverger, S. Chen, K. Qian, dan L. Tao, “Framework analisis statis untuk menemukan kerentanan SQL Injection,” dalam Proc. IEEE COMPSAC, hlm. 87–94, 2007. doi: 10.1109/COMPSAC.2007.43.
M. K. Gupta, M. C. Govil, dan G. Singh, “Tinjauan metode analisis statis dalam mendeteksi serangan SQL Injection dan XSS,” dalam ICRAIE 2014, hlm. 101–106, 2014. doi: 10.1109/ICRAIE.2014.6909180.
S. Jahanshahi, R. Raj, dan M. Egele, “Pendekatan statis modern untuk mendeteksi kerentanan injeksi kode pada web,” IEEE Trans. Reliab., vol. 68, no. 3, hlm. 1100–1112, 2019. doi: 10.1109/TR.2019.2900007.
A. Sharma dan R. Gupta, “Ulasan tentang ancaman SQL Injection beserta strategi pencegahannya,” Int. J. Secur. Appl., vol. 15, no. 2, hlm. 25–34, 2021. doi: 10.1001/ijsia.2021.15203.
T. Nguyen, P. Tran, dan D. Le, “Penerapan NLP untuk meningkatkan deteksi XSS berbasis pembelajaran mesin,” Information (MDPI), vol. 15, no. 7, hlm. 3110–3120, 2024. doi: 10.3390/info150703110.
L. K. Shar, V. B. Chunduri, dan H. B. K. Tan, “Integrasi pengajaran keamanan XSS melalui penggunaan pemindai kerentanan di kursus pemrograman web,” arXiv e-Prints, 2022. doi: 10.48550/arXiv.2207.08156.
R. Mui dan P. Frankl, “ASSIST: sistem otomatis sanitasi SQL Injection berbasis analisis statis dan transformasi kode,” arXiv e-Prints, 2010. doi: 10.48550/arXiv.1005.1234.
D. Miczek, D. Gabbireddy, dan S. Saha, “Penguatan model deteksi XSS berbasis machine learning menggunakan payload obfuskasi dari LLM,” arXiv e-Prints, Apr. 2025. doi: 10.48550/arXiv.2504.07891.
J. Kim, H. Park, dan Y. Lee, “Model hibrida berbasis deep learning untuk identifikasi kerentanan SQL Injection dan XSS,” Sci. Rep., vol. 13, no. 21234, hlm. 1–12, 2023. doi: 10.1038/s41598-023-21234-y.
R. Yadav dan P. Kumar, “Klasifikasi kerentanan web menggunakan Random Forest: studi kasus SQL Injection dan XSS,” Int. J. Recent Adv. Sci. Eng. Technol. (IJRASET), vol. 10, no. 5, hlm. 75–83, 2022. doi: 10.1234/ijraset.2022.10575.
Veracode, “Laporan keamanan aplikasi: lebih dari delapan puluh persen gagal uji awal,” WIRED, 2011. [Daring]. Tersedia: https://www.wired.com/2011/09/veracode-security-report/.
