Uploaded by anurulhuda98

USULAN PROPOSAL METODOLOGI PENELITIAN

advertisement
USULAN PENELITIAN
KEAMANAN DATABASE E-VOTING DARI SERANGAN SQL
INJECTION DENGAN KOMBINASI FRAMEWORK DIVIA SERTA
ALGORITMA RSA DAN ELGAMAL
PENGUSUL
Asep Nurul Huda – NPM 177006063
UNIVERSITAS SILIWANGI
2020
KATA PENGANTAR
Assalamu’alaikum Warahmatullahi Wabarakatuh
Dengan mengucap alhamdulillah, puji dan syukur atas kehadirat allah
subhana wa ta’ala yang telah memberikan berkat rahmat dan hidayah-nya,
sehingga tugas yang berjudul “Keamanan Database E-Voting Dari Serangan Sql
Injection Dengan Kombinasi Framework DIVIA Serta Algoritma Rsa Dan
Elgamal ” dapat diselesaikan dengan baik. Shalawat serta salam semoga
senantiasa dilimpahkan kepada Nabi Muhammad Shallallahu ‘Alaihi Wasallam,
yang telah membawa kita dari zaman jahiliyah menuju ke zaman terang
benderang.
Laporan ini disusun sebagai salah satu tugas mata kuliah Metodologi
Penelitian di Jurusan Informatika, Fakultas Teknik, Universitas Siliwangi. Selain
itu, tugas ini juga sebagai sarana untuk menerapkan ilmu dan teori yang telah
didapatkan. Penulis menyampaikan rasa terima kasih dan penghargaan kepada
kedua orang tua dan seluruh keluarga yang senantiasa menjadi sumber inspirasi
dan motivasi, dosen wali dan calon dosen pembimbing yang telah banyak
memberikan arahan dan masukan yang sangat berharga, seluruh dosen Program
Studi Informatika yang telah banyak memberikan wawasan keilmuan selama
menempuh Program Studi Informatika, rekan-rekan seperjuangan di Program
Studi informatika Universitas Siliwangi, serta seluruh pihak yang telah
mendukung dan terlibat dalam penyusunan usulan penelitian ini.
Penulis menyadari bahwa masih terdapat beberapa kekurangan dalam
laporan tugas ini, untuk itu saran dan kritik yang sifatnya membangun akan
diterima dengan senang hati. Akhir kata, penulis berharap agar laporan tugas ini
dapat bermanfaat bagi semua pihak.
Wassalamu’alaikum Warahmatullahi Wabarakatuh
Ciamis, 8 Juni 2020
( Asep Nurul Huda )
i
DAFTAR ISI
Kata Pengantar .....................................................……………………….…........ i
Daftar Isi .................................…………………..................………………........ ii
Ringkasan / Abstrak ..................................………................………………........ iii
Bab I. Pendahuluan ........................................………...........………………........ 1
I.1 Latar Belakang .....................................................………………........ 1
I.2 Permasalahan Penelitian .....................................…………………..... 1
I.3 Tujuan dan Pertanyaan Penelitian ........................…………………..... 2
Bab II. Tinjauan Pustaka ..............................................…......………………........ 3
II.1 SQL Injection .......................................…............………………........ 3
II.2 State of The Art Bidang Penelitian SQL Injection .....……………...... 4
Bab III. Metodologi Penelitian ............................……….......………………...... 32
III.1 Peta Jalan (Roadmap) Penelitian......…........................…...……….. 32
III.2 Tahapan Penelitian .......................…...............…………………….. 33
Bab IV. Jadwal dan Rencana Capaian Penelitian .....…..........………………….. 35
IV.1 Jadwal Penelitian ......…...............................…………...………..… 35
IV.2 Rencana Capaian Penelitian ....................….......………………..… 35
Referensi ...............................................................………………...…………… 36
ii
RINGKASAN
Keamanan database suatu website merupakan salah satu hal yang harus
benar-benar
diperhatikan,
karena
dengan
metode
SQL Injection
yang
memanfaatkan celah keamanan pada string input SQL maka penyerang akan
memiliki akses terhadap database sehingg dapat merubah bahkan menghapus
database itu sendiri.
Salah satu situs yang menggunakan database dalam skala besar dan rentan
untuk di serang dengan SQL Injection adalah situs e-voting, pembobolan terhadap
kemanan sistem kemudian merubah isi database situs e-voting pernah terjadi.
Untuk itu usulan penelitian ini akan mengembangkan suatu sistem deteksi
serangan SQL yang dikombinasikan dengan enkripsi database sehingga jika
sistem keamanan ditembus maka database tidak akan mudah dibaca.
Aktivitas penelitian yang akan dilakukan diawali dengan mencari
framework dan algoritma yang cocoko kemudian mendefinisikan kebutuhan
rancangan, mengembangkan arsitektur sistem dan diakhiri dengan mengevaluasi
model secara keseluruhan.
Target luaran dari penelitian ini adalah model atau prototipe perangkat
lunak, dan karya ini akan dipublikasikan pada jurnal ilmiah nasional terakreditasi.
Kata Kunci
: Database, DIVIA, Elgamal, RSA, SQL Injection
iii
BAB I. PENDAHULUAN
I.1 Latar Belakang
Keamana komputer menjadi sangat sentral pada saat ini, berbagai macam hal
sudah dilakukan melalui teknologi komputer, salah satuny adalah sistem
pemunguntan suara secara online atau E-Voting. Salah satu bagian keamanan yang
penting dalam teknologi komputer adalah keamana database.
Database adalah sekumpulan data atau informasi yang disimpan di dalam
komputer secara sistematik[1].
Database menjadi sangat vital karena seluruh
informasi disimpan disini, sehingga perlu untuk dijaga dengan baik.
yang
dapat digunakan melalui sebuah program
komputer
tertentu untuk
menjalankannya.
Ancaman paling besar bagi database adalah serangan SQL Injection, SQL
Injection merupakan suatu cara untuk memanfaatkan celah keamanan sintaks SQL
pada suatu aplikasi web yang membuat penyerang dapat mempunyai akses kepada
database[2].
Salah satu aplikasi web yang menggunakan database dan rentan untuk
diserang adalah situs e-voting seperti diberitakan bahwa situs KPU RI dapat ditembus
keamananya dan dirubah isi databesnya [3] padahal hal ini sangat berbahaya.
Hal ini menjadi motivias untuk dapat memperkuat sistem keamana dari situs e-voting
agar dapat dipergunanakan secara optimal.
I.2 Permasalahan Penelitian
Masalah utama yang ingin diselesaikan oleh peneliti ini adalah bagaimana
mengamankan database e-voting dari serangan SQL Injection. Telah banyak
pendekatan yang diusullkan oleh para peneliti sebagaimana dibahas dalam Bab 2,
namun dari berbagai pendekatan tersebut masih menyisakan berbagai permasalahan,
diantaranya adalah belum adanya pendekatan yang menyeluruh antara mengamankan
jalan masuk ke situs dan mengamankan database situs tersebut. Model yang akan
dikembangkan ditargetkan akan dapat mengamankan jalan masuk ke situs sekaligus
juga mengamankan database situs e-voting dengan menggabungkan pendekatan-
1
pendekatan yang ada. Sehingga kebaruan dan orisinalitas yang diharapkan dari
penelitian ini adalah :
a) Dapat mengamankan jalan masuk situs e-voting dengan metode pendeteksian
serangan SQL Injection menggunakan framework DIAVA
b) Dalam waktu bersamaan juga dapat mengamankan database e-voting dengan
enkripsi kombinasi RSA dan Elgamal
1.3 Tujuan dan Pertanyaan Penelitian
Tujuan penelitian ini adalah mengembangkan framework dan algoritma
enkripsi yang dapat digunakan untuk mengamankan situs dengan banyak database.
Tujuan penelitian ini dispesifikasikan kedalam dua pertanyaan penelitian dan
kontibusinya masing-masing sebagai berikut :
Pertanyaan Penelitian-1 :
Framework apa yang dapat mendeteksi situs evoting dari serangan SQL Injection ?
Kontribusi : Dengan pemilihan framework yang
tepat maka kemungkinan pencurian data dari
database akan dapat dihindari
Pertanyaan Penelitian-2 :
Enkripsi apa yang kuat dan cepat pemrosesanya
sehingga dapat mengamankan database e-voting ?
Kontribusi : dengan mengamankan database
menggunakan enkripsi yang kuat dan cepat
pemrosesanya maka setiap data akan dapat
diamankan dengan cepat dan jika terjadi pencurian
data maka database tidak akan dapat diakses
dengan mudah
Pertanyaan penelitian-1 dan 2 saling keterkaitan sehingga penelitian ini akan saling
berkesinambungan.
2
BAB II. TINJAUAN PUSTAKA
II.1 SQL Injection
SQL Injection merupakan SQL Injection adalah salah satu ancaman paling
umum pada sistem basis data di mana penyerang menambahkan string perintah SQL
yang salah untuk mendapatkan akses database atau membuat perubahan pada data
yang disimpan[4]. Hal ini tentu saja akan sangat berbahaya karena dengan SQL
Injection maka database suatu situs akan dapat diambil atau dirubah,
Salah satu situs yang memiliki database yang rentan untuk dilakukan aksi SQL
Injection adalah situ e-voting.
Berdasarkan hasil penelitian dari [1] serta [5] dimungkinkan untuk dapat
bekombinasi
membuat suatu sistem pendeteksi SQL injection yang kuat disaat
bersamaan pula mengamankan database dengan cara dienkripsi.
Gambar II.1 Area dan Pendekatan SQL Injection
3
II.2 State Of The Art Bidang Penelitian SQL Injection
Para peneliti dewasa ini tengah berusaha menjawab persoalan tersebut dengan
memperluas state-of-the-art bidang penelitiaan dan memasukkan unsur-unsur
tambahan yang dapat memenuhi kebutuhan dalam penanganan SQL Injection. Tabel
II.1 menunjukkan perbandingan penelitian yang berhubungan dengan fokus SQL
injection. Diantaranya, pendekatan dengan menggunakan deep learning sehingga
sistem dapat belajar dengan sendirinya mengenai jenis serangan terbaru.
Selain
pendekatan
dengan
kecerdasan
buatan,
mengamankan database juga telah dilakukan oleh para peneliti.
Tabel II.1 State Of The Art Penelitian Terkait
4
pendekatan
dengan
State Of The Art – SQL Injection
Paper ke-1
Judul paper
A
Classification
of
SQL
Injection
Attacks
and
Countermeasures
Penulis
William G.J. Halfond, Jeremy Viegas, and Alessandro
Orso[2]
Jurnal/
Konferensi
URL
Permasalahan Serangan SQL Injection menimbulkan ancaman keamanan
serius pada aplikasi Web. yang memungkinkan penyerang
untuk mendapatkan akses ke database dan mengakses
informasi informasi sensitif yang berpotensi.memberikan
deskripsi dan contoh bagaimana serangan jenis itu dapat
dilakukan.
Kontribusi
memberikan deskripsi dan contoh bagaimana serangan jenis
itu dapat dilakukan.
Metode/
menyajikan
dan
menganalisis
teknik
deteksi
dan
solusi
pencegahan yang ada terhadap serangan injeksi SQL. Untuk
setiap teknik, dibahas kekuatan dan kelemahannya dalam
menangani seluruh serangan injeksi SQL
Hasil utama
banyak solusi yang diajukan dalam literatur hanya
membahas beberapa masalah yang berkaitan dengan injeksi
SQL
Batasan
Serangan dan pertahanan pada SQL Injection
Paper ke-2
Judul paper
An algorithm for detecting SQL injection vulnerability
using black-box testing
Penulis
Muhammad Saidu Aliero,
5
Imran Ghani,
Kashif Naseer Qureshi, Mohd Fo’ad Rohani[9]
Jurnal/
Konferensi
Journal of Ambient Intelligence and Humanized Computing
volume 11, pages249–266(2020)
URL
https://link.springer.com/article/10.1007/s12652-01901235-z
Permasalahan 64% aplikasi web di seluruh dunia rentan terhadap SQL
Injection karena input yang tidak tepat
Kontribusi
Penelitian ini berfokus pada peningkatan efektivitas SQL
Injection Vulnerability
Metode/
mengusulkan
pendekatan
berorientasi
objek
dalam
solusi
pengembangannya untuk membantu dan meminimalkan
timbulnya hasil positif palsu dan negatif palsu, serta
memberikan ruang untuk meningkatkan pemindai yang
diusulkan oleh para peneliti potensial.
Hasil utama
Hasil analisis eksperimental menunjukkan peningkatan yang
signifikan dengan mencapai akurasi tinggi dibandingkan
dengan penelitian yang ada. Demikian pula, evaluasi
analitik menunjukkan bahwa pemindai yang diusulkan
mampu menganalisis respons halaman yang diserang
menggunakan empat teknik yang berbeda
Batasan
SQL Injection
Paper ke-3
Judul paper
An Approach to secure multi-tier website through SQLInjection detection and prevention
Penulis
MD. Emon Hossain, Sabbir Ahmed[14]
Jurnal/
Konferensi
URL
https://dl.acm.org/doi/abs/10.1145/3377049.3377096
6
Permasalahan Kerentanan injeksi SQL memungkinkan penyerang untuk
langsung mengalirkan perintah ke dalam database aplikasi
web yang mendasarinya dan menghancurkan fungsi atau
kerahasiaan mereka
Kontribusi
mengusulkan model untuk mencegah injeksi SQL yang
berbeda untuk arsitektur multi-tier berbasis web
Metode/
Model ini menunjukkan efisiensinya dengan melacak
solusi
injeksi SQL yang berbeda dan hasil kinerja menggambarkan
penerapannya
Hasil utama
Perbandingan efisiensi performa dari beberapa metode yang
telah diberikan
Batasan
Serangan dan pertahanan pada SQL Injection
Paper ke-4
Judul Paper
SQL Injection Detection and Prevention Techniques in
ASP.NET Web Application
Penulis
Mohammad Abu Kausar, Mohammad Nasar, Aiman
Moyaid[15]
URL
https://www.semanticscholar.org/paper/SQL-InjectionDetection-and-Prevention-Techniques-.-Kausar-Nasar/
1ed9880bf12b6ed33402b7e7cb9c4bb9f9820df9
Jurnal/
International Journal of Recent Technology and Engineering
Konferensi
(IJRTE) ISSN: 2277-3878, Volume-8 Issue-3, September
2019
Permasalahan
tahun 2017, jumlah aplikasi internet serangan meningkat
sebesar 69% dibandingkan dengan 2016. Sedangkan Injeksi
SQL dan serangan File Incorporation lokal dicatat untuk
85% dari semua serangan ini, XSS hanya menyumbang 9%.
Untuk Studi Pelanggaran Data 2017 tentang Verizon hanya
15,4 persen dari peristiwa yang direkam yang melibatkan
7
aplikasi
web
penyerangan,
sementara
29,5
persen
pelanggaran diderita oleh web serangan aplikasi. SQL
Injection adalah serangan paling lazim di internet. Sesuai
penelitian yang dilakukan oleh layanan cloud berbasis di AS
vendor Akamai, yang ditemukan di Internet State-nya
Laporkan [13] bahwa injeksi SQL dan Penyertaan Filer
Lokal serangan menyumbang lebih dari 85 persen dari
vektor serangan dilaporkan. Dari November 2017 hingga
Maret 2019, SQL serangan injeksi menyumbang 65% dari
serangan berbasis web vektor.
Kontribusi
Menunjukkan cara untuk mengamankan dari serangan
SQLIA dengan menggunakan metodelogi penyelesauan
serangan
adengan
kode
aman
yag
mengacu
pada
penggunaan metode encoding dan decoding untuk menulis
kode defensif validasi yang memadai.
Metode/Solusi Dijelaskan teknik untuk mendeteksi dan mencegah SQLIA
yang dianalisis saat ini adalahh penelitian tentang
AMNESIA,
pendekatan
pendekatan
SQLCHECK,CANDID
,
otomatis,WASP,swaddler,tautology
pemeriksa.WebSSari dan Ardilla . berita baik dari semua
yang di jelaskan tentang metode diatas yaitu relatif mudah
dilakukan untuk menghindari aplikasi ASP.NET menjadi
rentan SQLIA dengan memfilter semua input pengguna dan
banyak bentik yang dapat difilter langkah langkah yang
dilakukan yaitu :
1. Jia anda menggunakan kurei yang telah dibangun
secara dinamis
2. Mengatur dan menjalankan semua prosedur sebagai
prosedur tersimpan bagian ini merupakan bagian
8
yang parameter sql yang melindingi apostrof dan
tanda hubung yang di gunakan dengan cara yang
memungkinkan serangan injeksi terjadi.
3. Batasi panjang formulir input atau string kueri
4. Periksa apakah input terbatas pada nilai yang
diinginkan validasi pengguna dan validasi pada
client dan server harus dilakukan
5. Simpan informasi dalam format yang disandikan
seperti login pengguna dan kata sandir enkripsi input
pengguna ke informasi yang di simpan di database
perbandingan.
6. Validasi jumlah baris yang dikembalikan dari
permintaan pemulihan data.
Hasil Utama
Pada makalah ini membahas cara mengatasi sql injection
yang kurang dikenal oleh dunia umu . sqli merupakan
serangan yang cukup normal di asp.net aplikasi web
sehingga paper ini membahas metode pencegahan dan
mendeteksi serangan yang mungkin mereka temukan dan
terapkan untuk menghindari serangan ini , sehingga
serangan-serangan
ini
dapat
menyelesaikan
metode
identifikasi dan penghindaran serta validasi yang bisa
digunakan dengan benar karena itu terkadang pengkodean
aplikasi web yang benar memiliki sangat sedikit pentingnya
agar segera diselesaikan , sehingga pengembang web sangat
penting untuk penyelesaian masalah ini agar dapat
menghancurkan serangan dari aplikasi web dengan sangat
baik dan pengembang web dapat memahami jenis jenis
serangan dan impilikasinya yang dapat berdampak buruk
bagi suatu organisasi.
9
Batasan
Batasan pada paper ini adalah sedikitnya studi tentang SQLI
, metode mitigasi dan deteksi yang disebutkan.
Paper Ke-5
Judul Paper
Fuzzy neural networks to create an expert system for
detecting attacks by SQL Injection.
Penulis
Lucas Oliveira Batista, Gabriel Adriano de Silva, Vanessa
Souza Araújo, Vinícius Jonathan Silva Araújo, Thiago Silva
Rezende, Augusto Junio Guimarães, Paulo Vitor de Campos
Souza[16]
URL
https://arxiv.org/ftp/arxiv/papers/1901/1901.02868.pdf
Jurnal/
THE INTERNATIONAL JOURNAL OF FORENSIC
Konferensi
COMPUTER SCIENCE – IJoFCS Volume 13, Number 1,
pages 8-21, DOI: 10.5769/J201801001
Permasalahan
Evolusi teknologi yang konstan menjadi ciri dunia
kontemporer,
dan
prosesnya
dari
manual
menjadi
terkomputerisasi. Data disimpan di dunia maya dan sebagai
konsekuensinya seseorang harus meningkatkan perhatian
dengan keamanan lingkungan ini. Serangan dunia maya
diwakili oleh skala dunia yang terus berkembang dan
dicirikan sebagai salah satu tantangan penting abad ini.
Kontribusi
Mengusulkan sistem komputasi yang didasarkan pada
model
hibrida
cerdas,
yang
melalui
aturan
fuzzy
memungkinkan pembangunan sistem pakar dalam serangan
data cybernetic, dengan fokus pada serangan SQL Injection
Metode/Solusi Pengujian dilakukan dengan basis nyata serangan SQL
Injection pada komputer pemerintah, menggunakan jaringan
saraf fuzzy.
Hasil Utama
Menurut hasil yang diperoleh, kelayakan membangun
sistem berdasarkan aturan fuzzy, dengan akurasi klasifikasi
10
invasi
cybernetic
(dibandingkan
dalam
dengan
margin
model
standar
state-of-the-art
deviasi
dalam
memecahkan jenis masalah ini) adalah nyata. Model ini
membantu negara mempersiapkan diri untuk melindungi
jaringan
data
menciptakan
dan
sistem
peluang
informasi
bagi
sistem
mereka,
serta
pakar
untuk
mengotomatiskan identifikasi serangan di dunia maya.
Batasan
Paper ini berfokus dengan 1 jenis serangan yaitu SQL
injection
Paper Ke-6
Judul Paper
Detecting SQL Injection Attacks Using Grammar Pattern
Recognition and Access Behavior Mining
Penulis
Hongcan Gao∗, Jingwen Zhu†, Lei Liu‡ Jing Xu‡ Yanfeng
Wu∗ and Ao Liu∗[17]
URL
https://ieeexplore.ieee.org/document/8791338/
authors#authors
Jurnal/
Konferensi : Nanjing, China, China
Konferensi
Permasalahan
mendeteksi serangan sql
Kontribusi
1. mengusulkan model, Attar, untuk mendeteksi SQLIA
dengan menganalisis log akses dalam aplikasi Web
2. Menganalisis log akses dalam web
3. Merancang dan menerapkan recognizer pola tata Bahasa
dan aksen
4. Mengekstrasi fitur tata Bahasa dan perilaku sqlia
5. Memanfaatkan berbagai algoritma pembelajaran mesin
untuk melatih dan mendeteksi model penulis berdasarkan
GFM dan BFM dataset masing masing
Metode/Solusi
Kami mengevaluasi model kami di dikumpulkan 58.000
11
Web akses pengguna log
Hasil Utama
Hasil
penelitian
menunjukkan
bahwa
metode
yang
diusulkan secara efektif dapat mendeteksi serangan injeksi
SQL termasuk serangan tidak diketahui dengan tingkat
negatif palsu yang lebih rendah dan tingkat positif palsu
Batasan
fitur gramatikal dapat ditunjukkan bahwa standar yang
berbeda dari tata bahasa memimpin pola fitur untuk lebih
tinggi FNR dan FPR lebih rendah dalam percobaan.
Sementara untuk fitur perilaku, pengaturan rameter pa- yang
berbeda, misalnya, ambang batas waktu, mengakibatkan
FNR lebih rendah dan lebih tinggi FPR. secara keseluruhan,
model deteksi melakukan kinerja yang baik untuk SQLIA.
Paper ke-7
Judul Paper
Numerical Encoding to Tame SQL Injection Attacks
Penulis
Solomon Ogbomon Uwagbole, William J. Buchanan, Lu
Fan[18]
URL
https://ieeexplore.ieee.org/abstract/document/7502997
Jurnal/
NOMS 2016 - 2016 IEEE/IFIP Network Operations and
Konferensi
Management Symposium
Permasalahan
peningkatan dalam SQL Serangan Injeksi
(SQLIA)
digunakan untuk kompromi kerahasiaan, autentikasi dan
integritas database organisasi. Penyusup menjadi lebih
pintar
dalam
mengaburkan
permintaan
web
untuk
menghindari deteksi dikombinasikan dengan peningkatan
volume lalu lintas web dari Internet of Things (IoT),
aplikasi bisnis yang di-hosting dan di-tempat telah
membuktikan bahwa pendekatan yang ada kebanyakan
statis tanda tangan tidak memiliki kemampuan untuk
mengatasi tanda tangan baru.
12
Kontribusi
kesamaan dalam skema keseluruhan deteksi SQLIA dan
pencegahan ini tidak meluas ke input numerik ekstraksi
atribut
dari
fitur
dalam-transisi
ke
diawasi
model
pembelajaran seperti yang diusulkan dalam penelitian.
membentuk konteks meninjau beberapa karya terkait yang
dipilih. Sebuah karya terbaru [9] yang menggunakan hibrida
dinamis dan statis pendekatan memprediksi kerentanan
kode terhadap yang diawasi model yang mencapai nilai
penarikan 0,77 (77%). Tidak ada Nilai AUC disediakan di
koran untuk mengukur kesusilaan model dalam kinerja
keseluruhan. Dalam model yang diusulkan ini, punya
memperagakan model pembelajaran terawasi yang dilatih
dengan prima dataset untuk model AUC yang layak sebesar
0,78 (78%) dengan penarikan kembali93,7%, dan bahkan di
kelas atas dengan AUC 0,912(91,2%) dengan nilai
penarikan 0,984 (98,4%).
Metode/Solusi sebuah teknik ekstraksi atribut numerik dari berbagai
ukuran dataset input ke Jaringan Syaraf Tiruan (JST) dan
algoritma
Machine
diimplementasikan
Learning
(ML)
statistik
menggunakan Two-Class Averaged
Perceptron (TCAP) dan Two-Class Logistic Regresi
(TCLR) masing-masing
Hasil Utama
Sebanyak 236 fitur SQLIA unik dikumpulkan berbagai
forum peretasan, situs web, dan alat SQLIA. Novel
pendekatan yang dijelaskan dalam ekstraksi atribut numerik
dari fitur menyediakan metode untuk menghasilkan dataset
dari berbagai ukuran pola templat dikumpulkan. Ada dua set
dataset digunakan yang keduanya mengandung empat
atribut-x (prediktor) dan dua atribut-y (apa yang akan
13
diprediksi atau diberi label kelas) dibuat untuk Percobaan
yang dijalankan di studio MAML. Kumpulan data berisi
30.000 item yang tidak tercemar (baris)dihasilkan seperti
yang dijelaskan dalam Bagian IV, yang model yang dilatih
memberikan overfitting di semua matriks kebingungan
dengan nilai 1. Ini diharapkan untuk dataset berlabel prima.
Sedangkan dataset 2 miliki 50.000 item dataset yang disortir
secara acak untuk memberikan nilai yang sama distribusi
barang-barang unggulan. Dataset 2 mengandung campuran
baik 20.000 item dataset terpalsukan dan 30.000 tidak
terpalsukan. Bagian pemalsuan dataset 2 melibatkan
menghapus kelas pelabelan dan menggunakan rentang
numerik di luar 1 hingga 9 yang digunakan dalam clean data
(tidak tercemar) untuk mengatur ambang ancaman
Batasan
Menggunakan Microsoft Azure yang masih berbayar
Paper ke-8
Judul Paper
ConsiDroid: A Concolic-based Tool for Detecting SQL
Injection Vulnerability in Android Apps
Penulis
Ehsan Edalat1, Babak Sadeghiyan1∗, Fatemeh Ghassemi2
1Amirkabir University of Technology 2University of Tehran
* E-mail: [email protected][19]
URL
https://arxiv.org/pdf/1811.10448.pdf
Jurnal/
IET Research Journals
Konferensi
Permasalahan
Pada akhir tahun 2017, 2,7 juta perangkat menggunakan
operating system Android, hal itu merupakan 88% dari total
perangkat yang ada. Kemudian terdapat 3,3 juta aplikasi
yang tersedia di Google Play pada bulan Maret 2018.
Jumlah ini menunjukan bahwa android menjadi OS yang
14
paling diminati oleh pengguna dan developer aplikasi.
Namun, ini menjadikanya target favorit dalam menyerang
kelemahan system dalam aplikasi android, salah satunya
adalah
serangan
penyerangan
SQL
SQL
dikembangkan.
Injection.
Injection
Ada
Untuk
banyak
seperangkat
mencegah
Teknik
pendekatan
telah
seperti
berbasiskan analisis statis untuk mendeteksi kerentanan
keamanan. Pendekatan ini terdapat kelemahan alami dari
analisis statis, yaitu, tingkat alarm palsu yang tinggi dan
ketidakmampuan menganalisis kode dinamis yang dimuat
saat runtime. Dibutuhkan sebuah Teknik baru dalam
mengatasi serangan SQL Injection yang lebih komprehensif
dan tidak memiliki banyak keterbatasan.
Kontribusi
Memberikan system penangan serangan SQL Injection baru
yang melengkapi kelemahan dari system sebelumnya yang
telah ada.
Metode/Solusi Untuk mendeteksi kerentanan
SQL Injection, kondisi
berikut harus ada di aplikasi: 1) keberadaan jalur dari input
aplikasi ke fungsi yang rentan, 2) tidak menggunakan fungsi
parametrik,
3)
hasil
dari
propagasi
kueri
untuk
membocorkan fungsi yang digunakan penyerang untuk
mengakses hasil kueri basis data.
ConsiDroid memiliki
lima bagian utama : 1) Analisi Static : Dengan analisis
statis, memiliki dua tujuan utama. Pertama adalah
memproduksi fungsi utama untuk mengkompilasi dan
menjalankan
aplikasi
di
JVM
.Kedua
adalah
mengoptimalkan analisis dinamis. 2) Kelas Mock dan Mock
Simbolik : Menggunakan kelas tiruan untuk memodelkan
SDK. 3) Extended Concolic Execution Engine: extend SPF
15
dalam dua aspek. Pertama, mengembangkan komponen
untuk deteksi kerentanan injeksi SQL. Kedua, mengelola
eksekusi concolic untuk memeriksa jalur rentan yang
diekstraksi oleh analisis statis pada awalnya.4)
Laporan Deteksi Kerentanan: Hasil analisis membantu
pengembang
untuk
menambal
aplikasi
mereka
dan
memperbaiki kerentanan injeksi SQL. Dalam laporan
tersebut, dilampirkan ID dan nama fungsi sumber dan
fungsi sin. 5) Robolectric: Untuk memvalidasi hasil,
menggunakan Robolectric, yang merupakan alat pengujian
unit untuk aplikasi Android. Untuk menguji Robolectric
yang
sesuai,
harus
menentukan
jalur
pengujian.
Menggunakan kelas DummyMain dan laporan deteksi
kerentanan untuk membangun input pengujian Robolectric.
Hasil Utama
Memberikan
usul
teknik
eksekusi
concolic
untuk
mendeteksi kerentanan injeksi SQL di aplikasi Android,
dengan alat baru yang disebut ConsiDroid (Concolic-based
SQL Injection vulnerability detection tool in AnDroidApps).
Batasan
fokus pada bentuk klasik SQL Injection tidak mendukung
jenis injeksi yang rumit misalnya, blind, berbasis waktu.
Paper ke-9
Judul Paper
Sistem Pendeteksi dan Pencegah Serangan SQL Injection
dengan Penghapusan Nilai Atribut Query SQL dan
Honeypot
Penulis
Satrio Gita Nugraha, Supeno Djanali, dan Baskoro Adi
Pratomo Jurusan Teknik Informatika, Fakultas Teknologi
Informasi, Institut Teknologi Sepuluh Nopember (ITS)[20]
URL
http://digilib.its.ac.id/public/ITS-paper-35320-5109100097paperpdf.pdf
16
Jurnal/
JURNAL TEKNIK POMITS Vol. 2, No. 1, ISSN: 2337-
Konferensi
3539 (2301-9271 Print)
Permasalahan
Serangan SQL Injection pada website
Kontribusi
Memberikan penanganan pada serangan SQL Injection pada
suatu website dengan Penghapusan Nilai Atribut Query
SQL dan Honeypot
Metode/Solusi Didesain sebuah sistem untuk mendeteksi serangan SQL
injection. Sistem ini akan bekerja selayaknya sebuah proxy
yang berada di antara client dan web server. Sistem akan
berperilaku seolah-olah sistem adalah web server yang
menyediakan layanan, sehingga client akan mengirimkan
request ke sistem. Selanjutnya request dari client akan
diperiksa oleh sistem. Apabila request method yang dikirim
client adalah selain dari POST, maka request akan langsung
diteruskan ke web server. Sebaliknya apabila request
method yang dikirimkan client adalah POST, maka sistem
akan terlebih dahulu mengambil data yang dikirimkan pada
parameter POST. Data tersebut akan diseleksi menggunakan
metode penghapusan atribut query SQL. Apabila parameter
yang dikirimkan lolos seleksi dan bersifat aman, maka
request akan diteruskan ke web server. Apabila parameter
yang dikirimkan tidak lolos seleksi, maka disinyalir ada
serangan SQL injection yang disisipkan pada parameter
data. Setiap request yang terdeteksi sebagai serangan akan
diteruskan ke honeypot untuk dilakukan pencatatan
serangan. Sistem juga bertugas untuk meneruskan balasan
request dari web server dan honeypot ke client. B
Hasil Utama
Dari hasil uji coba fungsionalitas pada sistem pendeteksi
dan pencegah serangan SQL injection, semua fungsionalitas
17
sistem sudah berjalan dengan cukup baik sehingga sistem
dapat
berperan
selayaknya
sebuah
web
server
sesungguhnya. Dari hasil uji coba dapat disimpulkan sistem
telah memenuhi semua kebutuhan dan menjalankan
perannya dengan baik dalam mendeteksi serangan SQL
injection yang dikirimkan melalui POST method. Dari hasil
uji coba didapatkan waktu yang dibutuhkan sistem dalam
proses pendeteksian hanya membutuhkan waktu rata-rata 2
millisecond. Hal ini menunjukkan algoritma sudah berjalan
dengan baik dan tidak memberatkan sistem secara
keseluruhan.
Batasan
Baru menangani pada SQL injection dengen POST Methode
belum dapat mendeteksi serangan dengan menggunakan
GET Methode.
Paper ke-10
Judul Paper
Detection of SQL Injection Vulnerability in Embedded SQL
Penulis
Young-Su JANG[21]
URL
https://www.jstage.jst.go.jp/article/transinf/E103.D/5/
E103.D_2019EDL8143/_article/-char/ja/
Jurnal/
IEICE TRANS. INF. & SYST., VOL.E103–D, NO.5 MAY
Konferensi
2020
Permasalahan
Menurut the Open Web Application Security Project
(OWASP) Top Ten 2017, SQL injection adalah salah satu
jenis serangan IT yang sering terjadi, hal ini terjadi karena
terjadi kesalahan valdasi dalam penginputan. Tanpa adanay
validasi yang baik maka penyerang dapat menyisipkan
kunci SQL khusus yang baru yang dapat merubah query
SQL yang dibuat oleh developer. Embedded SQL digunakan
dalam bahasa pemrograman host (mis., C / C ++, Java)
18
tempat pernyataan eksekusi digunakan. Secara khusus,
tertanam SQL dalam host pemrograman C / C ++ host
bahasa variabel (mis., Input atau output variabel) untuk
meneruskan data dan informasi status. Oleh karena itu,
ketika penyerang menyuntikkan pernyataan SQL berbahaya
ke dalam variabel host input, mereka mungkin dapat
mengakses data dari database atau mengekstrak informasi
pribadi. Sanitasi adalah jenis metode validasi input yang
dilakukan untuk menghapus elemen berbahaya dari input
yang diberikan oleh pengguna. Selain itu, sanitasi dilakukan
sebelum parameter input eksternal digunakan dalam
pernyataan SQL.
Kontribusi
Mengusulkan pendekatan baru untuk dapat bertahan
terhadap kerentanan SQL Injections dalam embedde SQL .
Metode/Solusi Memperluas teknik regenerasi tehnik diperkenalkan dengan
teknik yang diusulkan. Variabel kandidat ditransformasikan
untuk memverifikasi SQL Injection Attack (SQLIA) dalam
embedde SQL Pendekatan didasarkan pada transformasi
kode sumber untuk mengekstrak pencocokan subtree.
Proses verifikasi membandingkan variabel nyata dan
variabel kandidat dan memverifikasi pohon derivasi
variabel untuk sanitasi. Jika struktur pohon derivasi dari
variabel nyata dan variabel kandidat berbeda, dapat dilihat
bahwa serangan SQLIA telah terjadi.
Mengusulkan teknik pembuatan kode kandidat yang dapat
mendeteksi kerentanan injeksi SQL embedded SQL dalam
bahasa pemrograman host C / C ++. Keuntungan dari teknik
yang diusulkan adalah berguna dalam meningkatkan
pemantauan keamanan perangkat lunak; dengan demikian,
19
berhasil
mengembangkan
memastikan
aplikasi
teknik
keamanan
perbaikan
dan
untuk
menghilangkan
kesalahan. Selain itu, memberikan bukti bahwa adalah
mungkin untuk merancang teknik retrotting yang sukses
yang menjamin keamanan dalam aplikasi lama dan
menghilangkan serangan yang diketahui.
Focus pada embedded SQL
Paper ke-11
Judul Paper
DIAVA : A TRAFFIC-BASED FRAMEWORK FOR
DETECTION OF SQL INJECTION ATTACKS AND
VULNERABILITY ANALYSIS OF LEAKED DATA
Penulis
HAIFENG GU, JIANNING ZHANG, TIAN LIU, MING
HU,
JUNLONG
ZHOU,
TONGSQUAN
WEI,
MINGSONG CHEN[5]
URL
Jurnal/
IEEE Transactions on Reliability, vol. 69, no. 1, pp. 188-
Konferensi
202, March 2020.
Permasalahan
https://ieeexplore.ieee.org/document/8771368
Kontribusi
Serangan SQL Injection begitu membahayakan karena dapat
mecuri informasi sensitif. Tentu ini merupakan masalah
besar bagi perusahaan besar, banyak perusahaan yang
menyewa jasa keamanan berbasis cloud untuk melindungi
data-data penting mereka, biasanya framework yang
digunakan dalam pengamanan dari SQL injection adalah
Web Applications Framework (WAFS), namun biaya yang
harus dikeluarakan tidak sedikit dan efektifitas dari WAFS
tersebut
masih
terbatas.
Sehingga
diperlukan
suatu
framework baru yang lebih handal.
Metode/Solusi Memberikan suatu framework baru dalam mencegah
20
terjadinya pencurian data dari serangan SQL Injection yang
lebih baik daripada framework WAFs, framework ini diberi
nama DIAVA.
Hasil Utama
Mendeteksi permintaan SQL yang berbahaya untuk
kemudian dilaporkan secara realtime juga memberikan
evaluasi terhadap kemungkinan perncurian data yang dapat
terjadi,
Batasan
Penanganan serangan SQL Injection harus dapat dilakukan
tidak hanya secara realtime saja, karena bentuk serangan
yang semakin bervariasi sehingga diperlukan saran tindakan
yang cepat juga agar risiko pencurian data dapat
diminimalisir. Dengan menggunakan teknik perbaikan dari
framework Web Applications Framework (WAFs) yang
hanya dapat melaporkan serangan SQL Injection saja, maka
framework DIAVA hadir untuk mengatasi hal tersebut dan
setelah diuji, framework DIAVA dapat memberikan realtime
serangan
SQL
Injection
juga
pada
saat
tersebut
memberikan saran pencegahan.
Meningkatkan kemampuan dari framework WAFs untuk
dapat memberikan saran pencegahan pada saat terjadi
serangan SQL Injections.
Paper ke-12
Judul Paper
Detecting SQL Injection Attacks in VoIP using Real-time
Deep Packet Inspection
Penulis
Linus Sjöström[6]
URL
https://liu.diva-portal.org/smash/get/diva2:1362470/
FULLTEXT01.pdf
Jurnal/
Konferensi
21
Permasalahan
Panggilan
telepon
jaman
sekarang
lebih
cenderung
menggunakan teknologi VOIP atau Voice Over Internet
Protocol
daripada
tradisional.
Dengan
menggunakan
banyaknya
jaringan
layanan
di
telepon
internet,
panggilan telepon tersebut sangat rentan terkena serangan.
Kontribusi
Untuk mengevaluasi dampak performa dari besarnya paket
dan untuk lebih memahami tentang klasifikasi terhadap
seragan dengan paket data yang besar. Testing dilakukan
dengan meningkatkan besarnya paket. Klasifikasi regex di
implementasikan dalam Deep Package Inspection (DPI)
atau inspeksi paket dalam, implementasi sumber terbuka,
nDPI, sebelum dilakukan evaluasi, dilakukan dahulu uji
throughput dan akurasi.
Metode/Solusi Metode yang digunakan ada 2 yaitu dengan cara
menggunakan regex dan dengan menggunakan naïve bayes
untuk mengklasifikasikan paket data sebagai paket data
yang valid atau sebagai serangan sql injection.
Hasil Utama
Hasilnya adalah klasifikasi regex mempuyai akurasi yang
bagus dan throughput yang lebih tinggi. Klasifikasi Naïve
bayes bekerja lebih baik untuk jenis baru dari serangan sql
injection yang kita tidak tahu
Batasan
Tesis ini berfokus dengan 1 jenis serangan yaitu SQL
injection dalam Session Initial Protocol (SIP)
Paper ke-13
Judul Paper
Impact of SQL Injection in Database Security
Penulis
H. Gupta, S. Mondal, S. Ray, B. Giri, R. Majumdar and V.
P. Mishra,[7]
URL
https://ieeexplore.ieee.org/document/9004430
Jurnal/
019
International
22
Conference
on
Computational
Konferensi
Intelligence and Knowledge Economy (ICCIKE), Dubai,
United Arab Emirates, 2019, pp. 296-299.
Permasalahan
Bahaya SQL Injection dalam keamanan data
Kontribusi
pendekatan hybrid yang baru ini untuk mencegah database
dari injeksi SQL
Metode/Solusi Pendekatan digunakan untuk mencegah Serangan injeksi
SQL terhadap basis data . Model ini yang di usulkan atas
dasar pada teknik enkripsi hybrid yang telah menggunakan
Advanced Encryption Standard (AES) saat login fase untuk
mencegah akses tidak sah ke database dan di sisi
lain,menggunakan Kurva Elips Cryptography (ECC) untuk
mengenkripsi basis data sehingga jika tidak ada mengetahui
kuncinya tidak ada yang dapat mengakses informasi basis
data.
Hasil Utama
Dengan menerapkan teknik enkripsi seperti AES, SQLIA
bisa terdeteksi dan dapat mencegah database dari serangan
injeksi dan enkripsi selama login pasti akan meningkatkan
keamanan dari akses tidak sah.ECC digunakan untuk
mengenkripsi data atau informasi yang disimpan dalam
database. Saat database dienkripsi oleh Elliptical Curve
Cryptography (ECC) yang dibutuhkan oleh pengguna kunci
yang benar untuk mengakses informasi yang disimpan di
basis data . Dalam karya ini Elliptical Curve Cryptography
digunakan untuk mengenkripsi data yang disimpan dalam
database. Pada dasarnya ECC mengubah data menjadi
bentuk yang tidak dapat dibaca yaitu data dienkripsi.
Manfaat
utama
menggunakan
ECC
adalah
jika
menggunakan kata kunci yang tidak tepat , teks sandi tidak
dapat diuraikan atau didekripsi bahkan jika penyerang
23
meretas basis data. i kombinasi ini merpakan teknik enkripsi
yang diterapkan di Internet database untuk melindungi
database dari serangan injeksi SQL
Batasan
pendekatan enkripsi yang terintegrasi, yaitu kombinasi dua
enkripsi untuk mengamankan basis data
Paper ke-14
Judul Paper
Analisis Forensik Jaringan Studi Kasus Serangan SQL
Injection pada Server Universitas Gadjah Mada
Penulis
Resi Utami Putri *1 , Jazi Eko Istiyanto 2 [8]
URL
Jurnal/
IJCCS, Vol.6, No.2, July 2012, pp. 101~112
Konferensi
ISSN: 1978-1520
Permasalahan
Serangan SQL Injection sering terjadi pada server
Universitas Gadjah Mada, diperlukan suatu analasis untuk
dapat mengidentifikasi pola serangan sebagai bahan acuan
dalam membuat sistem pertahanan
Kontribusi
Memberikan informasi detail mengenai serangan SQL
Injection pada server univ Gadjah Mada
Metode/Solusi Static forensik
Hasil Utama
Berdasarkan hasil penelitian yang telah dilakukan, terdapat
68 IP address yang
melakukan tindakan illegal SQL Injection pada server
www.ugm.ac.id. Kebanyakan penyerang
menggunakan tools SQL Injection yaitu Havij dan SQLMap
sebagai tool otomatis untuk
memanfaatkan celah keamanan pada suatu website. Selain
itu, ada yang menggunakan skrip
Python yaitu berasal dari benua Eropa yaitu di Romania.
Batasan
Terbatas pada server univ Gadjah Mada
24
Paper ke-15
Judul Paper
Detection and Prevention of SQL
Injection Attack: A Survey
Penulis
Zainab S. Alwan 1 , Manal F. Younis 2[4]
URL
www.ijcsmc.com
Jurnal/
International Journal of Computer Science and Mobile
Konferensi
Computing
Permasalahan
Serangan
SQL
injection
semakin
beragam,
perlu
pengetahuan yang luas mengenai jenis-jenis serangan dan
cara mencegahnya
Kontribusi
Memberikan informasi mengenai jenis serangan SQL
Injection dan cara pencegahanya
Metode/Solusi Studi Pustaka
Hasil Utama
informasi mengenai jenis serangan SQL Injection dan cara
pencegahanya
Batasan
SQL Injection
Paper ke-16
Judul Paper
CASE STUDY OF SQL INJECTION ATTACKS
Penulis
Sonakshi*, Rakesh Kumar, Girdhar Gopal[10]
URL
Jurnal/
INTERNATIONAL
JOURNAL
Konferensi
SCIENCES & RESEARCH
OF
ENGINEERING
TECHNOLOGY
Permasalahan
Serangan
SQL
injection
semakin
beragam,
perlu
pengetahuan yang luas mengenai jenis-jenis serangan dan
cara mencegahnya
Kontribusi
Memberikan informasi mengenai jenis serangan SQL
Injection dan cara pencegahanya
25
Metode/Solusi Studi Pustaka
Hasil Utama
informasi mengenai jenis serangan SQL Injection dan cara
pencegahanya
Batasan
SQL Injection
Paper ke-17
Judul Paper
ANALISIS FORENSIK SERANGAN SQL INJECTION
MENGGUNAKAN
METODE STATIS FORENSIK
Penulis
Imam Riadi, Rusydi Umar, Wasito Sukarno.[11]
URL
Jurnal/
Prosiding
Konferensi
Conference 1 st
Program
Interdisciplinary
Pascasarjana
Postgraduate
Universitas
Student
Muhammadiyah
Yogyakarta (PPs UMY)
ISBN: 978-602-19568-2-3
Permasalahan
Website Kemahasiswaan Universitas Ahmad
Dahlan merupakan website yang digunakan sebagai
media dan sarana informasi komunikasi Mahasiswa.
Sehingga website ini dapat diakses secara luas dan
memerlukan keamanan website. Terdapat beberapa
cara yang dapat digunakan untuk melakukan pengujian
terhadap keamanan website tersebut. Salah satunya
adalah dengan melakukan SQL (Structure Query
Language) Injection. SQL Injection adalah sebuah
teknik yang menyalahgunakan sebuah celah keamanan
yang terjadi dalam lapisan basis data sebuah
aplikasi[3]. Celah ini terjadi ketika masukan pengguna
tidak disaring secara benar dari karakter-karakter
pelolos bentukan string yang diimbuhkan dalam
26
pernyataan SQL atau masukan pengguna tidak bertipe
kuat dan karenanya dijalankan tidak sesuai harapan.
Dengan menggunakan SQL Injection ini maka akan
dapat mengetahui apakah website tersebut pernah
atau sedang ada penyerang yang memanipulasi data.
Kontribusi
Informasi penyerangan SQL Injection
Metode/Solusi METODE STATIS FORENSIK
Hasil Utama
Berdasarkan hasil penelitian terdapat beberapa ip
address yang masuk melalui celah keamanan website
kemahasiswaan. Penyerang menggunakan tool SQL
Injection.
Batasan
Pada situs akademik universitas ahmad dahlan
Paper ke-18
Judul Paper
CODDLE: Code-Injection Detection
With Deep Learning
Penulis
STANISLAV ABAIMOV
AND GIUSEPPE BIANCHI[12]
URL
Ieee.org
Jurnal/
IEE Acces
Konferensi
Permasalahan
Serangan SQL Injection sudah menggunakan teknologi
kecerdasan buatan, untuk itu diperlukan sistem pencegahan
yang juga menggunakan teknologi kecerdasan buatan agar
dapat belajade dengan sendirinya jika ada serangan dengan
teknik baru
Kontribusi
Alternatif pencegahan SQL Injection dengan deep learning
Metode/Solusi Deep learning
27
Hasil Utama
Framework CODDLE: Code-Injection Detection
With Deep Learning
Batasan
Deep learning
Paper ke-19
Judul Paper
SQL Injection Detection and Prevention Using
Input Filter Technique
Penulis
Shruti Bangre, Alka Jaiswal
URL
Jurnal/
International Journal of Recent Technology and Engineering
Konferensi
(IJRTE)
ISSN: 2277-3878, Volume-1, Issue-2, June 2012
Permasalahan
Serangan SQL Injection banyak terjadi melalui input kode
perintah yang berbahaya dan sistem tidak bisa mencegah,
diperlukan suatu sistem agara hal ini bisa diatasi
Kontribusi
Alternatif pencegahan SQL Injection
Metode/Solusi Filter masukan
Hasil Utama
Berhasil membuat sistem yang dapat memblok kode
perintah SQL yang berbahaya
Batasan
Metode input filter
Paper ke-20
Judul Paper
PENYANDIAN PESAN
MENGGUNAKAN KOMBINASI
ALGORITMA RSA YANG
DITINGKATKAN
DAN ALGORITMA ELGAMAL
Penulis
Jafarudin Firdaus 1 , Rini Marwati 2 , Sumanang Muhtar
Gozali 3[13]
URL
28
Jurnal/
EurekaMatika,Vol.6,No.1,2018
Konferensi
Permasalahan
Kemanan pesan menjadi sangat penting saat ini, salah satu
cara
untuk
mengamankan
menyandikan
pesan
pesan
adalah
(kriptografi)
dengan
dengan
algoritma.Kriptografi adalah ilmu dan seni untuk menjaga
keamanan
pesan. Algoritma kriptografi yang populer saat ini adalah
algoritma RSA
yang didasarkan pada masalah pemfaktoran bilangan bulat
dan algoritma
ElGamal yang didasarkan pada masalah logaritma diskrit.
Kontribusi
Alternatif penyandian pesan
Metode/Solusi KOMBINASI
ALGORITMA RSA YANG
DITINGKATKAN
DAN ALGORITMA ELGAMAL
Hasil Utama
sebuah algoritma baru kriptografi yang menggabungkan
algoritma
ElGamal
dengan
algoritma
RSA yang
ditingkatkan
menggunakan tiga
bilangan prima
Batasan
Hanya kombinasi 2 algoritma
Paper ke-21
Judul Paper
MODEL MODIFIKASI KRIPTOGRAFI
ALGORITMA RSA UNTUK KEAMANAN DATA
PADA DATABASE E-VOTING
Penulis
Martono[1]
URL
29
Jurnal/
MEDIASISFO
Konferensi
Vol. 11, No. 2, Oktober 2017
Permasalahan
Keamanan database pada situs e-voting menjadi hal mutlak,
oleh katena itu diperlukan suatu metode untuk dapat
mengamankan database dari serangan SQL Injection
Kontribusi
Model keamanan database E-Voting
Metode/Solusi Metode penelitian eksperimen serta metode pengujian
sistem yang digunakan adalah
metode black box
Hasil Utama
Model keamanan database E-Voting
Batasan
Hanya enkripsi database
30
Beragam pendekatan untuk menyelesaikan serangan SQL Injection, selain
memiliki kelebihan masing-masing masih menyisakan beberapa kekurangan,
misalnya pada framework considroid baru bisa menyelesaikan serangan SQL
injection klasik belum bisa mengatasi serangan yang menggunakan metode
terbaru, kemudian pada framework DIVIA memiliki sistem deteksi yang kuat
hanya pengamanan database yang belum ada sehingga jika sistem keamana dapat
ditembus maka data akan mudah diakses, kemudian dalam enkripsi database
menggunakan RSA dan Elgamal sudah menghasilkan kombinasi algoritma yang
kuat dan cepat sehingga dapat dikombinasikan dengan framework sistem deteksi.
berdasarkan uraian tersebut peniliti tergagas untuk menggabungkan framework
pendeteksi serangan dengan algoritma untuk mengenkripsi database.
Untuk mewujudkan gagasan tersebut, peneliti mengkombinasikan
framework DIAVA yang berdasarkan hasil penelitain dapat mendeteksi serangan
SQL Injection dengan cepat dan tepat dengan kombinasi algoritam RSA dan
Elgamal yang berdasarkan penelitian dapat mengenkripsi data dengan cepat dan
kuat untuk mengamankan database e-voting.
31
BAB 3. METODOLOGI PENELITIAN
III.1 Peta Jalan (Roadmap) Penelitian
Penelitian yang diajukan dalam proposal ini merupakan bagian dari peta
jalan penelitian KK Jaringan Komputer dan Digital Forensik jurusan Informatika
Universitas Siliwangi . Dimana kajian database merupakan bagian dari rencana
pengabdian kepada masyarakt, wilayah dan kampus. Secara keseluruhan roadmap
dapat dilihat pada Gambar III.1. Terdapat 12 kajian penelitian, dan kajian yang
akan dilakukan dalam penelitian ini adalah ditandai dengan lingakaran berwarna
merah.
Gambar III.1 Peta Jalan Penelitian
32
III.2 Tahapan Penelitian
Kebaruan yang ditargetkan dari penelitian yang diusulkan ini adalah
penciptaan suatu model perangkat lunak yang dapat mendeteksi serangan SQL
Injection dan mengamankan database e-voting. Tahapan penelitian secara
keseluruhan disajikan pada Gambar III.3. tmenunjukan bagan air (fishbone
diagram) dari penelitian ini.
Gambar III.2 Tahap Penelitian
33
Gambar III.3 Fishbone Diagram
34
BAB IV. JADWAL DAN RENCANA CAPAIAN PENELITIAN
IV.1 Jadwal Penelitian
Berdasarkan peta jalan, tahapan dan bahan alir penelitian yang telah
ditetapkan rencana pelaksanaan penelitian yang akan dilakukan seperti
ditunjukkan pada tabel IV.1
Tabel IV.1 Jadwal Kegiatan Penelitian
NO JENIS KEGIATAN
BULAN KE
1 2 3 4 5
6
7 8 9 10 11 12
Studi literatur
Mendefinisikn
persoalan
penelitian
Pembangunan model
implementasi
Analisis hasil
Membuat paper untuk publikasi
Pembuatan laporan
IV.2 Rencana Capaian Penelitian
Target capaian dari penelitian ini adalah suatu model atau prototipe
perangkat lunak. Sebagai bentuk evaluasi dan pengakuan atas hasil kajian
akademis, karya ini akan dipublikasikan secara ilmiah dan diterapkan seperti
dapat dilihat pada Tabel IV.2
35
Tabel IV.2 Rencana Target Capaian Penelitian
No Jenis Luaran
1
Indikator Capaian
Publikasi Ilmiah
Nasional
TS
TS+1
Submitted
Reviewed
Terakreditasii
2
Pemakalah dalam Temu Nasional
/
Accepted
Submitted
Ilmiah
Reviewed
/
Accepted
3
Teknologi Tepat Guna
4.
Model
/
Purwarupa
/
Draft
Produk
Produk
Produk
1,2
3,4,5
Desain / Karya Seni /
Rekayasa Sosial
5.
Tingkat
Kesiapan
Teknologi (TKT)
Catatan :
TS : Tahun sekarang (tahun pertama penelitian)
TKT 1 : Prinsip dasar dari teknologi diteliti dan dilaporkan.
TKT 2 : Formulasi konsep dan/ atau aplikasi formulasi.
TKT 3 : Pembuktian konsep fungsi dan/atau karakteristik penting secara analitis
dan eksperimental.
TKT 4 : Validasi komponen/ subsistem dalam lingkungan laboratorium.
TKT 5 : Validasi komponen/subsistem dalam suatu lingkungan yang relevan.
TKT 6 : Demonstrasi model atau prototipe sistem/ subsistem dalam suatu
lingkungan yang relevan.
TKT 7 : Demonstrasi prototipe sistem dalam lingkungan sebenarnya.
TKT 8 : Sistem telah lengkap dan handal melalui pengujian dan demonstrasi
dalam lingkungan sebenarnya.
TKT 9 : Sistem benar-benar teruji/ terbukti melalui keberhasilan pengoperasian.
36
REFERENSI
[1]
Martono, “Model Modifikasi Kriptografi Algoritma Rsa Untuk Keamanan
Data Pada Database E-Voting,” J. Ilm. Media Sisfo, vol. 11, no. 2, pp. 896–
910,
2017,
[Online].
Available:
http://ejournal.stikom-db.ac.id/index.php/mediasisfo/article/view/245.
[2]
W. G. J. Halfond, J. Viegas, and A. Orso, “A Classification of SQL
Injection Attacks and Countermeasures,” Prev. Sql Code Inject. By Comb.
Static Runtime Anal., p. 53, 2008.
[3]
“NEWS : Situs Web Jurnal KPU RI Disusupi Hacker.”
https://cyberthreat.id/read/6984/Situs-Web-Jurnal-KPU-RI-DisusupiHacker (accessed Jun. 06, 2020).
[4]
Z. S. Alwan and M. F. Younis, “Detection and Prevention of SQL Injection
Attack: A Survey,” Int. J. Comput. Sci. Mob. Comput., vol. 6, no. 8, pp. 5–
17,
2017,
[Online].
Available:
https://www.ijcsmc.com/docs/papers/August2017/V6I8201701.pdf.
[5]
H. Gu et al., “DIAVA: A Traffic-Based Framework for Detection of SQL
Injection Attacks and Vulnerability Analysis of Leaked Data,” IEEE Trans.
Reliab., vol. 69, no. 1, pp. 188–202, 2019, doi: 10.1109/tr.2019.2925415.
[6]
L. Sjöström, “Detecting SQL Injection Attacks in VoIP using Real-time
Deep Packet Inspection,” 2019.
[7]
H. Gupta, S. Mondal, S. Ray, B. Giri, R. Majumdar, and V. P. Mishra,
“Impact of SQL Injection in Database Security,” Proc. 2019 Int. Conf.
Comput. Intell. Knowl. Econ. ICCIKE 2019, pp. 296–299, 2019, doi:
10.1109/ICCIKE47802.2019.9004430.
[8]
S. Universitas, G. Mada, and G. Mada, “Analisis Forensik Jaringan Studi
Kasus Serangan SQL Injection pada Server Universitas Gadjah Mada,”
IJCCS (Indonesian J. Comput. Cybern. Syst., vol. 6, no. 2, 2013, doi:
10.22146/ijccs.2157.
[9]
M. S. Aliero, I. Ghani, K. N. Qureshi, and M. F. Rohani, “An algorithm for
detecting SQL injection vulnerability using black-box testing,” J. Ambient
37
Intell. Humaniz. Comput., vol. 11, no. 1, pp. 249–266, 2020, doi:
10.1007/s12652-019-01235-z.
[10]
I. Journal and O. F. Engineering, “International journal of engineering
sciences & research technology,” vol. 4, no. 1, pp. 2–5, 2015.
[11]
I. Riadi, R. Umar, and W. Sukarno, “Analisis Forensik Serangan Sql
Injection Menggunakan Metode Statis Forensik,” Pros. Interdiscip.
Postgrad. Student Conf. 1st, vol. I, no. I, pp. 102–103, 2016.
[12]
S. Abaimov and G. Bianchi, “CODDLE: Code-Injection Detection with
Deep Learning,” IEEE Access, vol. 7, pp. 128617–128627, 2019, doi:
10.1109/ACCESS.2019.2939870.
[13]
D. A. N. A. Elgamal, “Penyandian Pesan Menggunakan Kombinasi
Algoritma Rsa Yang Ditingkatkan Dan Algoritma Elgamal,” J.
EurekaMatika, vol. 6, no. 1, pp. 23–32, 2018.
[14]
“An_approach_to_secure_multi-tier_websites_through_SQLInjection_detection_and_prevention.pdf.” .
[15]
M. A. Kausar, M. Nasar, and A. Moyaid, “SQL injection detection and
prevention techniques in ASP.NET web application,” Int. J. Recent
Technol. Eng., vol. 8, no. 3, pp. 7759–7766, 2019, doi:
10.35940/ijrte.C6319.098319.
[16]
L. Batista et al., “Fuzzy neural networks to create an expert system for
detecting attacks by SQL Injection,” Int. J. Forensic Comput. Sci., vol. 13,
no. 1, pp. 8–21, 2018, doi: 10.5769/j201801001.
[17]
H. Gao, J. Zhu, L. Liu, J. Xu, Y. Wu, and A. Liu, “Detecting SQL injection
attacks using grammar pattern recognition and access behavior mining,”
Proc. - IEEE Int. Conf. Energy Internet, ICEI 2019, pp. 493–498, 2019,
doi: 10.1109/ICEI.2019.00093.
[18]
S. O. Uwagbole, W. J. Buchanan, and L. Fan, “Numerical encoding to
Tame SQL injection attacks,” Proc. NOMS 2016 - 2016 IEEE/IFIP Netw.
Oper. Manag. Symp., no. April, pp. 1253–1256, 2016, doi:
10.1109/NOMS.2016.7502997.
[19]
E. Edalat, B. Sadeghiyan, and F. Ghassemi, “ConsiDroid: A Concolic-based
Tool for Detecting SQL Injection Vulnerability in Android Apps,” pp. 1–10,
2018, [Online]. Available: http://arxiv.org/abs/1811.10448.
38
[20]
S. G. Nugraha, S. Djanali, and A. Pratomo, “Sistem Pendeteksi dan
Pencegah Serangan SQL Injection dengan Penghapusan Nilai Atribut
Query SQL dan Honeypot,” vol. 2, no. 1, pp. 1–5, 2013.
[21] Y.-S. JANG, “Detection of SQL Injection Vulnerability in Embedded
SQL,” IEICE Trans. Inf. Syst., vol. E103.D, no. 5, pp. 1173–1176, 2020, doi:
10.1587/transinf.2019edl8143.
39
Download
Random flashcards
Rekening Agen Resmi De Nature Indonesia

9 Cards denaturerumahsehat

Rekening Agen Resmi De Nature Indonesia

9 Cards denaturerumahsehat

Card

2 Cards

Tarbiyah

2 Cards oauth2_google_3524bbcd-25bd-4334-b775-0f11ad568091

Dokumen

2 Cards oauth2_google_646e7a51-ae0a-49c7-9ed7-2515744db732

Create flashcards