USULAN PENELITIAN KEAMANAN DATABASE E-VOTING DARI SERANGAN SQL INJECTION DENGAN KOMBINASI FRAMEWORK DIVIA SERTA ALGORITMA RSA DAN ELGAMAL PENGUSUL Asep Nurul Huda – NPM 177006063 UNIVERSITAS SILIWANGI 2020 KATA PENGANTAR Assalamu’alaikum Warahmatullahi Wabarakatuh Dengan mengucap alhamdulillah, puji dan syukur atas kehadirat allah subhana wa ta’ala yang telah memberikan berkat rahmat dan hidayah-nya, sehingga tugas yang berjudul “Keamanan Database E-Voting Dari Serangan Sql Injection Dengan Kombinasi Framework DIVIA Serta Algoritma Rsa Dan Elgamal ” dapat diselesaikan dengan baik. Shalawat serta salam semoga senantiasa dilimpahkan kepada Nabi Muhammad Shallallahu ‘Alaihi Wasallam, yang telah membawa kita dari zaman jahiliyah menuju ke zaman terang benderang. Laporan ini disusun sebagai salah satu tugas mata kuliah Metodologi Penelitian di Jurusan Informatika, Fakultas Teknik, Universitas Siliwangi. Selain itu, tugas ini juga sebagai sarana untuk menerapkan ilmu dan teori yang telah didapatkan. Penulis menyampaikan rasa terima kasih dan penghargaan kepada kedua orang tua dan seluruh keluarga yang senantiasa menjadi sumber inspirasi dan motivasi, dosen wali dan calon dosen pembimbing yang telah banyak memberikan arahan dan masukan yang sangat berharga, seluruh dosen Program Studi Informatika yang telah banyak memberikan wawasan keilmuan selama menempuh Program Studi Informatika, rekan-rekan seperjuangan di Program Studi informatika Universitas Siliwangi, serta seluruh pihak yang telah mendukung dan terlibat dalam penyusunan usulan penelitian ini. Penulis menyadari bahwa masih terdapat beberapa kekurangan dalam laporan tugas ini, untuk itu saran dan kritik yang sifatnya membangun akan diterima dengan senang hati. Akhir kata, penulis berharap agar laporan tugas ini dapat bermanfaat bagi semua pihak. Wassalamu’alaikum Warahmatullahi Wabarakatuh Ciamis, 8 Juni 2020 ( Asep Nurul Huda ) i DAFTAR ISI Kata Pengantar .....................................................……………………….…........ i Daftar Isi .................................…………………..................………………........ ii Ringkasan / Abstrak ..................................………................………………........ iii Bab I. Pendahuluan ........................................………...........………………........ 1 I.1 Latar Belakang .....................................................………………........ 1 I.2 Permasalahan Penelitian .....................................…………………..... 1 I.3 Tujuan dan Pertanyaan Penelitian ........................…………………..... 2 Bab II. Tinjauan Pustaka ..............................................…......………………........ 3 II.1 SQL Injection .......................................…............………………........ 3 II.2 State of The Art Bidang Penelitian SQL Injection .....……………...... 4 Bab III. Metodologi Penelitian ............................……….......………………...... 32 III.1 Peta Jalan (Roadmap) Penelitian......…........................…...……….. 32 III.2 Tahapan Penelitian .......................…...............…………………….. 33 Bab IV. Jadwal dan Rencana Capaian Penelitian .....…..........………………….. 35 IV.1 Jadwal Penelitian ......…...............................…………...………..… 35 IV.2 Rencana Capaian Penelitian ....................….......………………..… 35 Referensi ...............................................................………………...…………… 36 ii RINGKASAN Keamanan database suatu website merupakan salah satu hal yang harus benar-benar diperhatikan, karena dengan metode SQL Injection yang memanfaatkan celah keamanan pada string input SQL maka penyerang akan memiliki akses terhadap database sehingg dapat merubah bahkan menghapus database itu sendiri. Salah satu situs yang menggunakan database dalam skala besar dan rentan untuk di serang dengan SQL Injection adalah situs e-voting, pembobolan terhadap kemanan sistem kemudian merubah isi database situs e-voting pernah terjadi. Untuk itu usulan penelitian ini akan mengembangkan suatu sistem deteksi serangan SQL yang dikombinasikan dengan enkripsi database sehingga jika sistem keamanan ditembus maka database tidak akan mudah dibaca. Aktivitas penelitian yang akan dilakukan diawali dengan mencari framework dan algoritma yang cocoko kemudian mendefinisikan kebutuhan rancangan, mengembangkan arsitektur sistem dan diakhiri dengan mengevaluasi model secara keseluruhan. Target luaran dari penelitian ini adalah model atau prototipe perangkat lunak, dan karya ini akan dipublikasikan pada jurnal ilmiah nasional terakreditasi. Kata Kunci : Database, DIVIA, Elgamal, RSA, SQL Injection iii BAB I. PENDAHULUAN I.1 Latar Belakang Keamana komputer menjadi sangat sentral pada saat ini, berbagai macam hal sudah dilakukan melalui teknologi komputer, salah satuny adalah sistem pemunguntan suara secara online atau E-Voting. Salah satu bagian keamanan yang penting dalam teknologi komputer adalah keamana database. Database adalah sekumpulan data atau informasi yang disimpan di dalam komputer secara sistematik[1]. Database menjadi sangat vital karena seluruh informasi disimpan disini, sehingga perlu untuk dijaga dengan baik. yang dapat digunakan melalui sebuah program komputer tertentu untuk menjalankannya. Ancaman paling besar bagi database adalah serangan SQL Injection, SQL Injection merupakan suatu cara untuk memanfaatkan celah keamanan sintaks SQL pada suatu aplikasi web yang membuat penyerang dapat mempunyai akses kepada database[2]. Salah satu aplikasi web yang menggunakan database dan rentan untuk diserang adalah situs e-voting seperti diberitakan bahwa situs KPU RI dapat ditembus keamananya dan dirubah isi databesnya [3] padahal hal ini sangat berbahaya. Hal ini menjadi motivias untuk dapat memperkuat sistem keamana dari situs e-voting agar dapat dipergunanakan secara optimal. I.2 Permasalahan Penelitian Masalah utama yang ingin diselesaikan oleh peneliti ini adalah bagaimana mengamankan database e-voting dari serangan SQL Injection. Telah banyak pendekatan yang diusullkan oleh para peneliti sebagaimana dibahas dalam Bab 2, namun dari berbagai pendekatan tersebut masih menyisakan berbagai permasalahan, diantaranya adalah belum adanya pendekatan yang menyeluruh antara mengamankan jalan masuk ke situs dan mengamankan database situs tersebut. Model yang akan dikembangkan ditargetkan akan dapat mengamankan jalan masuk ke situs sekaligus juga mengamankan database situs e-voting dengan menggabungkan pendekatan- 1 pendekatan yang ada. Sehingga kebaruan dan orisinalitas yang diharapkan dari penelitian ini adalah : a) Dapat mengamankan jalan masuk situs e-voting dengan metode pendeteksian serangan SQL Injection menggunakan framework DIAVA b) Dalam waktu bersamaan juga dapat mengamankan database e-voting dengan enkripsi kombinasi RSA dan Elgamal 1.3 Tujuan dan Pertanyaan Penelitian Tujuan penelitian ini adalah mengembangkan framework dan algoritma enkripsi yang dapat digunakan untuk mengamankan situs dengan banyak database. Tujuan penelitian ini dispesifikasikan kedalam dua pertanyaan penelitian dan kontibusinya masing-masing sebagai berikut : Pertanyaan Penelitian-1 : Framework apa yang dapat mendeteksi situs evoting dari serangan SQL Injection ? Kontribusi : Dengan pemilihan framework yang tepat maka kemungkinan pencurian data dari database akan dapat dihindari Pertanyaan Penelitian-2 : Enkripsi apa yang kuat dan cepat pemrosesanya sehingga dapat mengamankan database e-voting ? Kontribusi : dengan mengamankan database menggunakan enkripsi yang kuat dan cepat pemrosesanya maka setiap data akan dapat diamankan dengan cepat dan jika terjadi pencurian data maka database tidak akan dapat diakses dengan mudah Pertanyaan penelitian-1 dan 2 saling keterkaitan sehingga penelitian ini akan saling berkesinambungan. 2 BAB II. TINJAUAN PUSTAKA II.1 SQL Injection SQL Injection merupakan SQL Injection adalah salah satu ancaman paling umum pada sistem basis data di mana penyerang menambahkan string perintah SQL yang salah untuk mendapatkan akses database atau membuat perubahan pada data yang disimpan[4]. Hal ini tentu saja akan sangat berbahaya karena dengan SQL Injection maka database suatu situs akan dapat diambil atau dirubah, Salah satu situs yang memiliki database yang rentan untuk dilakukan aksi SQL Injection adalah situ e-voting. Berdasarkan hasil penelitian dari [1] serta [5] dimungkinkan untuk dapat bekombinasi membuat suatu sistem pendeteksi SQL injection yang kuat disaat bersamaan pula mengamankan database dengan cara dienkripsi. Gambar II.1 Area dan Pendekatan SQL Injection 3 II.2 State Of The Art Bidang Penelitian SQL Injection Para peneliti dewasa ini tengah berusaha menjawab persoalan tersebut dengan memperluas state-of-the-art bidang penelitiaan dan memasukkan unsur-unsur tambahan yang dapat memenuhi kebutuhan dalam penanganan SQL Injection. Tabel II.1 menunjukkan perbandingan penelitian yang berhubungan dengan fokus SQL injection. Diantaranya, pendekatan dengan menggunakan deep learning sehingga sistem dapat belajar dengan sendirinya mengenai jenis serangan terbaru. Selain pendekatan dengan kecerdasan buatan, mengamankan database juga telah dilakukan oleh para peneliti. Tabel II.1 State Of The Art Penelitian Terkait 4 pendekatan dengan State Of The Art – SQL Injection Paper ke-1 Judul paper A Classification of SQL Injection Attacks and Countermeasures Penulis William G.J. Halfond, Jeremy Viegas, and Alessandro Orso[2] Jurnal/ Konferensi URL Permasalahan Serangan SQL Injection menimbulkan ancaman keamanan serius pada aplikasi Web. yang memungkinkan penyerang untuk mendapatkan akses ke database dan mengakses informasi informasi sensitif yang berpotensi.memberikan deskripsi dan contoh bagaimana serangan jenis itu dapat dilakukan. Kontribusi memberikan deskripsi dan contoh bagaimana serangan jenis itu dapat dilakukan. Metode/ menyajikan dan menganalisis teknik deteksi dan solusi pencegahan yang ada terhadap serangan injeksi SQL. Untuk setiap teknik, dibahas kekuatan dan kelemahannya dalam menangani seluruh serangan injeksi SQL Hasil utama banyak solusi yang diajukan dalam literatur hanya membahas beberapa masalah yang berkaitan dengan injeksi SQL Batasan Serangan dan pertahanan pada SQL Injection Paper ke-2 Judul paper An algorithm for detecting SQL injection vulnerability using black-box testing Penulis Muhammad Saidu Aliero, 5 Imran Ghani, Kashif Naseer Qureshi, Mohd Fo’ad Rohani[9] Jurnal/ Konferensi Journal of Ambient Intelligence and Humanized Computing volume 11, pages249–266(2020) URL https://link.springer.com/article/10.1007/s12652-01901235-z Permasalahan 64% aplikasi web di seluruh dunia rentan terhadap SQL Injection karena input yang tidak tepat Kontribusi Penelitian ini berfokus pada peningkatan efektivitas SQL Injection Vulnerability Metode/ mengusulkan pendekatan berorientasi objek dalam solusi pengembangannya untuk membantu dan meminimalkan timbulnya hasil positif palsu dan negatif palsu, serta memberikan ruang untuk meningkatkan pemindai yang diusulkan oleh para peneliti potensial. Hasil utama Hasil analisis eksperimental menunjukkan peningkatan yang signifikan dengan mencapai akurasi tinggi dibandingkan dengan penelitian yang ada. Demikian pula, evaluasi analitik menunjukkan bahwa pemindai yang diusulkan mampu menganalisis respons halaman yang diserang menggunakan empat teknik yang berbeda Batasan SQL Injection Paper ke-3 Judul paper An Approach to secure multi-tier website through SQLInjection detection and prevention Penulis MD. Emon Hossain, Sabbir Ahmed[14] Jurnal/ Konferensi URL https://dl.acm.org/doi/abs/10.1145/3377049.3377096 6 Permasalahan Kerentanan injeksi SQL memungkinkan penyerang untuk langsung mengalirkan perintah ke dalam database aplikasi web yang mendasarinya dan menghancurkan fungsi atau kerahasiaan mereka Kontribusi mengusulkan model untuk mencegah injeksi SQL yang berbeda untuk arsitektur multi-tier berbasis web Metode/ Model ini menunjukkan efisiensinya dengan melacak solusi injeksi SQL yang berbeda dan hasil kinerja menggambarkan penerapannya Hasil utama Perbandingan efisiensi performa dari beberapa metode yang telah diberikan Batasan Serangan dan pertahanan pada SQL Injection Paper ke-4 Judul Paper SQL Injection Detection and Prevention Techniques in ASP.NET Web Application Penulis Mohammad Abu Kausar, Mohammad Nasar, Aiman Moyaid[15] URL https://www.semanticscholar.org/paper/SQL-InjectionDetection-and-Prevention-Techniques-.-Kausar-Nasar/ 1ed9880bf12b6ed33402b7e7cb9c4bb9f9820df9 Jurnal/ International Journal of Recent Technology and Engineering Konferensi (IJRTE) ISSN: 2277-3878, Volume-8 Issue-3, September 2019 Permasalahan tahun 2017, jumlah aplikasi internet serangan meningkat sebesar 69% dibandingkan dengan 2016. Sedangkan Injeksi SQL dan serangan File Incorporation lokal dicatat untuk 85% dari semua serangan ini, XSS hanya menyumbang 9%. Untuk Studi Pelanggaran Data 2017 tentang Verizon hanya 15,4 persen dari peristiwa yang direkam yang melibatkan 7 aplikasi web penyerangan, sementara 29,5 persen pelanggaran diderita oleh web serangan aplikasi. SQL Injection adalah serangan paling lazim di internet. Sesuai penelitian yang dilakukan oleh layanan cloud berbasis di AS vendor Akamai, yang ditemukan di Internet State-nya Laporkan [13] bahwa injeksi SQL dan Penyertaan Filer Lokal serangan menyumbang lebih dari 85 persen dari vektor serangan dilaporkan. Dari November 2017 hingga Maret 2019, SQL serangan injeksi menyumbang 65% dari serangan berbasis web vektor. Kontribusi Menunjukkan cara untuk mengamankan dari serangan SQLIA dengan menggunakan metodelogi penyelesauan serangan adengan kode aman yag mengacu pada penggunaan metode encoding dan decoding untuk menulis kode defensif validasi yang memadai. Metode/Solusi Dijelaskan teknik untuk mendeteksi dan mencegah SQLIA yang dianalisis saat ini adalahh penelitian tentang AMNESIA, pendekatan pendekatan SQLCHECK,CANDID , otomatis,WASP,swaddler,tautology pemeriksa.WebSSari dan Ardilla . berita baik dari semua yang di jelaskan tentang metode diatas yaitu relatif mudah dilakukan untuk menghindari aplikasi ASP.NET menjadi rentan SQLIA dengan memfilter semua input pengguna dan banyak bentik yang dapat difilter langkah langkah yang dilakukan yaitu : 1. Jia anda menggunakan kurei yang telah dibangun secara dinamis 2. Mengatur dan menjalankan semua prosedur sebagai prosedur tersimpan bagian ini merupakan bagian 8 yang parameter sql yang melindingi apostrof dan tanda hubung yang di gunakan dengan cara yang memungkinkan serangan injeksi terjadi. 3. Batasi panjang formulir input atau string kueri 4. Periksa apakah input terbatas pada nilai yang diinginkan validasi pengguna dan validasi pada client dan server harus dilakukan 5. Simpan informasi dalam format yang disandikan seperti login pengguna dan kata sandir enkripsi input pengguna ke informasi yang di simpan di database perbandingan. 6. Validasi jumlah baris yang dikembalikan dari permintaan pemulihan data. Hasil Utama Pada makalah ini membahas cara mengatasi sql injection yang kurang dikenal oleh dunia umu . sqli merupakan serangan yang cukup normal di asp.net aplikasi web sehingga paper ini membahas metode pencegahan dan mendeteksi serangan yang mungkin mereka temukan dan terapkan untuk menghindari serangan ini , sehingga serangan-serangan ini dapat menyelesaikan metode identifikasi dan penghindaran serta validasi yang bisa digunakan dengan benar karena itu terkadang pengkodean aplikasi web yang benar memiliki sangat sedikit pentingnya agar segera diselesaikan , sehingga pengembang web sangat penting untuk penyelesaian masalah ini agar dapat menghancurkan serangan dari aplikasi web dengan sangat baik dan pengembang web dapat memahami jenis jenis serangan dan impilikasinya yang dapat berdampak buruk bagi suatu organisasi. 9 Batasan Batasan pada paper ini adalah sedikitnya studi tentang SQLI , metode mitigasi dan deteksi yang disebutkan. Paper Ke-5 Judul Paper Fuzzy neural networks to create an expert system for detecting attacks by SQL Injection. Penulis Lucas Oliveira Batista, Gabriel Adriano de Silva, Vanessa Souza Araújo, Vinícius Jonathan Silva Araújo, Thiago Silva Rezende, Augusto Junio Guimarães, Paulo Vitor de Campos Souza[16] URL https://arxiv.org/ftp/arxiv/papers/1901/1901.02868.pdf Jurnal/ THE INTERNATIONAL JOURNAL OF FORENSIC Konferensi COMPUTER SCIENCE – IJoFCS Volume 13, Number 1, pages 8-21, DOI: 10.5769/J201801001 Permasalahan Evolusi teknologi yang konstan menjadi ciri dunia kontemporer, dan prosesnya dari manual menjadi terkomputerisasi. Data disimpan di dunia maya dan sebagai konsekuensinya seseorang harus meningkatkan perhatian dengan keamanan lingkungan ini. Serangan dunia maya diwakili oleh skala dunia yang terus berkembang dan dicirikan sebagai salah satu tantangan penting abad ini. Kontribusi Mengusulkan sistem komputasi yang didasarkan pada model hibrida cerdas, yang melalui aturan fuzzy memungkinkan pembangunan sistem pakar dalam serangan data cybernetic, dengan fokus pada serangan SQL Injection Metode/Solusi Pengujian dilakukan dengan basis nyata serangan SQL Injection pada komputer pemerintah, menggunakan jaringan saraf fuzzy. Hasil Utama Menurut hasil yang diperoleh, kelayakan membangun sistem berdasarkan aturan fuzzy, dengan akurasi klasifikasi 10 invasi cybernetic (dibandingkan dalam dengan margin model standar state-of-the-art deviasi dalam memecahkan jenis masalah ini) adalah nyata. Model ini membantu negara mempersiapkan diri untuk melindungi jaringan data menciptakan dan sistem peluang informasi bagi sistem mereka, serta pakar untuk mengotomatiskan identifikasi serangan di dunia maya. Batasan Paper ini berfokus dengan 1 jenis serangan yaitu SQL injection Paper Ke-6 Judul Paper Detecting SQL Injection Attacks Using Grammar Pattern Recognition and Access Behavior Mining Penulis Hongcan Gao∗, Jingwen Zhu†, Lei Liu‡ Jing Xu‡ Yanfeng Wu∗ and Ao Liu∗[17] URL https://ieeexplore.ieee.org/document/8791338/ authors#authors Jurnal/ Konferensi : Nanjing, China, China Konferensi Permasalahan mendeteksi serangan sql Kontribusi 1. mengusulkan model, Attar, untuk mendeteksi SQLIA dengan menganalisis log akses dalam aplikasi Web 2. Menganalisis log akses dalam web 3. Merancang dan menerapkan recognizer pola tata Bahasa dan aksen 4. Mengekstrasi fitur tata Bahasa dan perilaku sqlia 5. Memanfaatkan berbagai algoritma pembelajaran mesin untuk melatih dan mendeteksi model penulis berdasarkan GFM dan BFM dataset masing masing Metode/Solusi Kami mengevaluasi model kami di dikumpulkan 58.000 11 Web akses pengguna log Hasil Utama Hasil penelitian menunjukkan bahwa metode yang diusulkan secara efektif dapat mendeteksi serangan injeksi SQL termasuk serangan tidak diketahui dengan tingkat negatif palsu yang lebih rendah dan tingkat positif palsu Batasan fitur gramatikal dapat ditunjukkan bahwa standar yang berbeda dari tata bahasa memimpin pola fitur untuk lebih tinggi FNR dan FPR lebih rendah dalam percobaan. Sementara untuk fitur perilaku, pengaturan rameter pa- yang berbeda, misalnya, ambang batas waktu, mengakibatkan FNR lebih rendah dan lebih tinggi FPR. secara keseluruhan, model deteksi melakukan kinerja yang baik untuk SQLIA. Paper ke-7 Judul Paper Numerical Encoding to Tame SQL Injection Attacks Penulis Solomon Ogbomon Uwagbole, William J. Buchanan, Lu Fan[18] URL https://ieeexplore.ieee.org/abstract/document/7502997 Jurnal/ NOMS 2016 - 2016 IEEE/IFIP Network Operations and Konferensi Management Symposium Permasalahan peningkatan dalam SQL Serangan Injeksi (SQLIA) digunakan untuk kompromi kerahasiaan, autentikasi dan integritas database organisasi. Penyusup menjadi lebih pintar dalam mengaburkan permintaan web untuk menghindari deteksi dikombinasikan dengan peningkatan volume lalu lintas web dari Internet of Things (IoT), aplikasi bisnis yang di-hosting dan di-tempat telah membuktikan bahwa pendekatan yang ada kebanyakan statis tanda tangan tidak memiliki kemampuan untuk mengatasi tanda tangan baru. 12 Kontribusi kesamaan dalam skema keseluruhan deteksi SQLIA dan pencegahan ini tidak meluas ke input numerik ekstraksi atribut dari fitur dalam-transisi ke diawasi model pembelajaran seperti yang diusulkan dalam penelitian. membentuk konteks meninjau beberapa karya terkait yang dipilih. Sebuah karya terbaru [9] yang menggunakan hibrida dinamis dan statis pendekatan memprediksi kerentanan kode terhadap yang diawasi model yang mencapai nilai penarikan 0,77 (77%). Tidak ada Nilai AUC disediakan di koran untuk mengukur kesusilaan model dalam kinerja keseluruhan. Dalam model yang diusulkan ini, punya memperagakan model pembelajaran terawasi yang dilatih dengan prima dataset untuk model AUC yang layak sebesar 0,78 (78%) dengan penarikan kembali93,7%, dan bahkan di kelas atas dengan AUC 0,912(91,2%) dengan nilai penarikan 0,984 (98,4%). Metode/Solusi sebuah teknik ekstraksi atribut numerik dari berbagai ukuran dataset input ke Jaringan Syaraf Tiruan (JST) dan algoritma Machine diimplementasikan Learning (ML) statistik menggunakan Two-Class Averaged Perceptron (TCAP) dan Two-Class Logistic Regresi (TCLR) masing-masing Hasil Utama Sebanyak 236 fitur SQLIA unik dikumpulkan berbagai forum peretasan, situs web, dan alat SQLIA. Novel pendekatan yang dijelaskan dalam ekstraksi atribut numerik dari fitur menyediakan metode untuk menghasilkan dataset dari berbagai ukuran pola templat dikumpulkan. Ada dua set dataset digunakan yang keduanya mengandung empat atribut-x (prediktor) dan dua atribut-y (apa yang akan 13 diprediksi atau diberi label kelas) dibuat untuk Percobaan yang dijalankan di studio MAML. Kumpulan data berisi 30.000 item yang tidak tercemar (baris)dihasilkan seperti yang dijelaskan dalam Bagian IV, yang model yang dilatih memberikan overfitting di semua matriks kebingungan dengan nilai 1. Ini diharapkan untuk dataset berlabel prima. Sedangkan dataset 2 miliki 50.000 item dataset yang disortir secara acak untuk memberikan nilai yang sama distribusi barang-barang unggulan. Dataset 2 mengandung campuran baik 20.000 item dataset terpalsukan dan 30.000 tidak terpalsukan. Bagian pemalsuan dataset 2 melibatkan menghapus kelas pelabelan dan menggunakan rentang numerik di luar 1 hingga 9 yang digunakan dalam clean data (tidak tercemar) untuk mengatur ambang ancaman Batasan Menggunakan Microsoft Azure yang masih berbayar Paper ke-8 Judul Paper ConsiDroid: A Concolic-based Tool for Detecting SQL Injection Vulnerability in Android Apps Penulis Ehsan Edalat1, Babak Sadeghiyan1∗, Fatemeh Ghassemi2 1Amirkabir University of Technology 2University of Tehran * E-mail: [email protected][19] URL https://arxiv.org/pdf/1811.10448.pdf Jurnal/ IET Research Journals Konferensi Permasalahan Pada akhir tahun 2017, 2,7 juta perangkat menggunakan operating system Android, hal itu merupakan 88% dari total perangkat yang ada. Kemudian terdapat 3,3 juta aplikasi yang tersedia di Google Play pada bulan Maret 2018. Jumlah ini menunjukan bahwa android menjadi OS yang 14 paling diminati oleh pengguna dan developer aplikasi. Namun, ini menjadikanya target favorit dalam menyerang kelemahan system dalam aplikasi android, salah satunya adalah serangan penyerangan SQL SQL dikembangkan. Injection. Injection Ada Untuk banyak seperangkat mencegah Teknik pendekatan telah seperti berbasiskan analisis statis untuk mendeteksi kerentanan keamanan. Pendekatan ini terdapat kelemahan alami dari analisis statis, yaitu, tingkat alarm palsu yang tinggi dan ketidakmampuan menganalisis kode dinamis yang dimuat saat runtime. Dibutuhkan sebuah Teknik baru dalam mengatasi serangan SQL Injection yang lebih komprehensif dan tidak memiliki banyak keterbatasan. Kontribusi Memberikan system penangan serangan SQL Injection baru yang melengkapi kelemahan dari system sebelumnya yang telah ada. Metode/Solusi Untuk mendeteksi kerentanan SQL Injection, kondisi berikut harus ada di aplikasi: 1) keberadaan jalur dari input aplikasi ke fungsi yang rentan, 2) tidak menggunakan fungsi parametrik, 3) hasil dari propagasi kueri untuk membocorkan fungsi yang digunakan penyerang untuk mengakses hasil kueri basis data. ConsiDroid memiliki lima bagian utama : 1) Analisi Static : Dengan analisis statis, memiliki dua tujuan utama. Pertama adalah memproduksi fungsi utama untuk mengkompilasi dan menjalankan aplikasi di JVM .Kedua adalah mengoptimalkan analisis dinamis. 2) Kelas Mock dan Mock Simbolik : Menggunakan kelas tiruan untuk memodelkan SDK. 3) Extended Concolic Execution Engine: extend SPF 15 dalam dua aspek. Pertama, mengembangkan komponen untuk deteksi kerentanan injeksi SQL. Kedua, mengelola eksekusi concolic untuk memeriksa jalur rentan yang diekstraksi oleh analisis statis pada awalnya.4) Laporan Deteksi Kerentanan: Hasil analisis membantu pengembang untuk menambal aplikasi mereka dan memperbaiki kerentanan injeksi SQL. Dalam laporan tersebut, dilampirkan ID dan nama fungsi sumber dan fungsi sin. 5) Robolectric: Untuk memvalidasi hasil, menggunakan Robolectric, yang merupakan alat pengujian unit untuk aplikasi Android. Untuk menguji Robolectric yang sesuai, harus menentukan jalur pengujian. Menggunakan kelas DummyMain dan laporan deteksi kerentanan untuk membangun input pengujian Robolectric. Hasil Utama Memberikan usul teknik eksekusi concolic untuk mendeteksi kerentanan injeksi SQL di aplikasi Android, dengan alat baru yang disebut ConsiDroid (Concolic-based SQL Injection vulnerability detection tool in AnDroidApps). Batasan fokus pada bentuk klasik SQL Injection tidak mendukung jenis injeksi yang rumit misalnya, blind, berbasis waktu. Paper ke-9 Judul Paper Sistem Pendeteksi dan Pencegah Serangan SQL Injection dengan Penghapusan Nilai Atribut Query SQL dan Honeypot Penulis Satrio Gita Nugraha, Supeno Djanali, dan Baskoro Adi Pratomo Jurusan Teknik Informatika, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember (ITS)[20] URL http://digilib.its.ac.id/public/ITS-paper-35320-5109100097paperpdf.pdf 16 Jurnal/ JURNAL TEKNIK POMITS Vol. 2, No. 1, ISSN: 2337- Konferensi 3539 (2301-9271 Print) Permasalahan Serangan SQL Injection pada website Kontribusi Memberikan penanganan pada serangan SQL Injection pada suatu website dengan Penghapusan Nilai Atribut Query SQL dan Honeypot Metode/Solusi Didesain sebuah sistem untuk mendeteksi serangan SQL injection. Sistem ini akan bekerja selayaknya sebuah proxy yang berada di antara client dan web server. Sistem akan berperilaku seolah-olah sistem adalah web server yang menyediakan layanan, sehingga client akan mengirimkan request ke sistem. Selanjutnya request dari client akan diperiksa oleh sistem. Apabila request method yang dikirim client adalah selain dari POST, maka request akan langsung diteruskan ke web server. Sebaliknya apabila request method yang dikirimkan client adalah POST, maka sistem akan terlebih dahulu mengambil data yang dikirimkan pada parameter POST. Data tersebut akan diseleksi menggunakan metode penghapusan atribut query SQL. Apabila parameter yang dikirimkan lolos seleksi dan bersifat aman, maka request akan diteruskan ke web server. Apabila parameter yang dikirimkan tidak lolos seleksi, maka disinyalir ada serangan SQL injection yang disisipkan pada parameter data. Setiap request yang terdeteksi sebagai serangan akan diteruskan ke honeypot untuk dilakukan pencatatan serangan. Sistem juga bertugas untuk meneruskan balasan request dari web server dan honeypot ke client. B Hasil Utama Dari hasil uji coba fungsionalitas pada sistem pendeteksi dan pencegah serangan SQL injection, semua fungsionalitas 17 sistem sudah berjalan dengan cukup baik sehingga sistem dapat berperan selayaknya sebuah web server sesungguhnya. Dari hasil uji coba dapat disimpulkan sistem telah memenuhi semua kebutuhan dan menjalankan perannya dengan baik dalam mendeteksi serangan SQL injection yang dikirimkan melalui POST method. Dari hasil uji coba didapatkan waktu yang dibutuhkan sistem dalam proses pendeteksian hanya membutuhkan waktu rata-rata 2 millisecond. Hal ini menunjukkan algoritma sudah berjalan dengan baik dan tidak memberatkan sistem secara keseluruhan. Batasan Baru menangani pada SQL injection dengen POST Methode belum dapat mendeteksi serangan dengan menggunakan GET Methode. Paper ke-10 Judul Paper Detection of SQL Injection Vulnerability in Embedded SQL Penulis Young-Su JANG[21] URL https://www.jstage.jst.go.jp/article/transinf/E103.D/5/ E103.D_2019EDL8143/_article/-char/ja/ Jurnal/ IEICE TRANS. INF. & SYST., VOL.E103–D, NO.5 MAY Konferensi 2020 Permasalahan Menurut the Open Web Application Security Project (OWASP) Top Ten 2017, SQL injection adalah salah satu jenis serangan IT yang sering terjadi, hal ini terjadi karena terjadi kesalahan valdasi dalam penginputan. Tanpa adanay validasi yang baik maka penyerang dapat menyisipkan kunci SQL khusus yang baru yang dapat merubah query SQL yang dibuat oleh developer. Embedded SQL digunakan dalam bahasa pemrograman host (mis., C / C ++, Java) 18 tempat pernyataan eksekusi digunakan. Secara khusus, tertanam SQL dalam host pemrograman C / C ++ host bahasa variabel (mis., Input atau output variabel) untuk meneruskan data dan informasi status. Oleh karena itu, ketika penyerang menyuntikkan pernyataan SQL berbahaya ke dalam variabel host input, mereka mungkin dapat mengakses data dari database atau mengekstrak informasi pribadi. Sanitasi adalah jenis metode validasi input yang dilakukan untuk menghapus elemen berbahaya dari input yang diberikan oleh pengguna. Selain itu, sanitasi dilakukan sebelum parameter input eksternal digunakan dalam pernyataan SQL. Kontribusi Mengusulkan pendekatan baru untuk dapat bertahan terhadap kerentanan SQL Injections dalam embedde SQL . Metode/Solusi Memperluas teknik regenerasi tehnik diperkenalkan dengan teknik yang diusulkan. Variabel kandidat ditransformasikan untuk memverifikasi SQL Injection Attack (SQLIA) dalam embedde SQL Pendekatan didasarkan pada transformasi kode sumber untuk mengekstrak pencocokan subtree. Proses verifikasi membandingkan variabel nyata dan variabel kandidat dan memverifikasi pohon derivasi variabel untuk sanitasi. Jika struktur pohon derivasi dari variabel nyata dan variabel kandidat berbeda, dapat dilihat bahwa serangan SQLIA telah terjadi. Mengusulkan teknik pembuatan kode kandidat yang dapat mendeteksi kerentanan injeksi SQL embedded SQL dalam bahasa pemrograman host C / C ++. Keuntungan dari teknik yang diusulkan adalah berguna dalam meningkatkan pemantauan keamanan perangkat lunak; dengan demikian, 19 berhasil mengembangkan memastikan aplikasi teknik keamanan perbaikan dan untuk menghilangkan kesalahan. Selain itu, memberikan bukti bahwa adalah mungkin untuk merancang teknik retrotting yang sukses yang menjamin keamanan dalam aplikasi lama dan menghilangkan serangan yang diketahui. Focus pada embedded SQL Paper ke-11 Judul Paper DIAVA : A TRAFFIC-BASED FRAMEWORK FOR DETECTION OF SQL INJECTION ATTACKS AND VULNERABILITY ANALYSIS OF LEAKED DATA Penulis HAIFENG GU, JIANNING ZHANG, TIAN LIU, MING HU, JUNLONG ZHOU, TONGSQUAN WEI, MINGSONG CHEN[5] URL Jurnal/ IEEE Transactions on Reliability, vol. 69, no. 1, pp. 188- Konferensi 202, March 2020. Permasalahan https://ieeexplore.ieee.org/document/8771368 Kontribusi Serangan SQL Injection begitu membahayakan karena dapat mecuri informasi sensitif. Tentu ini merupakan masalah besar bagi perusahaan besar, banyak perusahaan yang menyewa jasa keamanan berbasis cloud untuk melindungi data-data penting mereka, biasanya framework yang digunakan dalam pengamanan dari SQL injection adalah Web Applications Framework (WAFS), namun biaya yang harus dikeluarakan tidak sedikit dan efektifitas dari WAFS tersebut masih terbatas. Sehingga diperlukan suatu framework baru yang lebih handal. Metode/Solusi Memberikan suatu framework baru dalam mencegah 20 terjadinya pencurian data dari serangan SQL Injection yang lebih baik daripada framework WAFs, framework ini diberi nama DIAVA. Hasil Utama Mendeteksi permintaan SQL yang berbahaya untuk kemudian dilaporkan secara realtime juga memberikan evaluasi terhadap kemungkinan perncurian data yang dapat terjadi, Batasan Penanganan serangan SQL Injection harus dapat dilakukan tidak hanya secara realtime saja, karena bentuk serangan yang semakin bervariasi sehingga diperlukan saran tindakan yang cepat juga agar risiko pencurian data dapat diminimalisir. Dengan menggunakan teknik perbaikan dari framework Web Applications Framework (WAFs) yang hanya dapat melaporkan serangan SQL Injection saja, maka framework DIAVA hadir untuk mengatasi hal tersebut dan setelah diuji, framework DIAVA dapat memberikan realtime serangan SQL Injection juga pada saat tersebut memberikan saran pencegahan. Meningkatkan kemampuan dari framework WAFs untuk dapat memberikan saran pencegahan pada saat terjadi serangan SQL Injections. Paper ke-12 Judul Paper Detecting SQL Injection Attacks in VoIP using Real-time Deep Packet Inspection Penulis Linus Sjöström[6] URL https://liu.diva-portal.org/smash/get/diva2:1362470/ FULLTEXT01.pdf Jurnal/ Konferensi 21 Permasalahan Panggilan telepon jaman sekarang lebih cenderung menggunakan teknologi VOIP atau Voice Over Internet Protocol daripada tradisional. Dengan menggunakan banyaknya jaringan layanan di telepon internet, panggilan telepon tersebut sangat rentan terkena serangan. Kontribusi Untuk mengevaluasi dampak performa dari besarnya paket dan untuk lebih memahami tentang klasifikasi terhadap seragan dengan paket data yang besar. Testing dilakukan dengan meningkatkan besarnya paket. Klasifikasi regex di implementasikan dalam Deep Package Inspection (DPI) atau inspeksi paket dalam, implementasi sumber terbuka, nDPI, sebelum dilakukan evaluasi, dilakukan dahulu uji throughput dan akurasi. Metode/Solusi Metode yang digunakan ada 2 yaitu dengan cara menggunakan regex dan dengan menggunakan naïve bayes untuk mengklasifikasikan paket data sebagai paket data yang valid atau sebagai serangan sql injection. Hasil Utama Hasilnya adalah klasifikasi regex mempuyai akurasi yang bagus dan throughput yang lebih tinggi. Klasifikasi Naïve bayes bekerja lebih baik untuk jenis baru dari serangan sql injection yang kita tidak tahu Batasan Tesis ini berfokus dengan 1 jenis serangan yaitu SQL injection dalam Session Initial Protocol (SIP) Paper ke-13 Judul Paper Impact of SQL Injection in Database Security Penulis H. Gupta, S. Mondal, S. Ray, B. Giri, R. Majumdar and V. P. Mishra,[7] URL https://ieeexplore.ieee.org/document/9004430 Jurnal/ 019 International 22 Conference on Computational Konferensi Intelligence and Knowledge Economy (ICCIKE), Dubai, United Arab Emirates, 2019, pp. 296-299. Permasalahan Bahaya SQL Injection dalam keamanan data Kontribusi pendekatan hybrid yang baru ini untuk mencegah database dari injeksi SQL Metode/Solusi Pendekatan digunakan untuk mencegah Serangan injeksi SQL terhadap basis data . Model ini yang di usulkan atas dasar pada teknik enkripsi hybrid yang telah menggunakan Advanced Encryption Standard (AES) saat login fase untuk mencegah akses tidak sah ke database dan di sisi lain,menggunakan Kurva Elips Cryptography (ECC) untuk mengenkripsi basis data sehingga jika tidak ada mengetahui kuncinya tidak ada yang dapat mengakses informasi basis data. Hasil Utama Dengan menerapkan teknik enkripsi seperti AES, SQLIA bisa terdeteksi dan dapat mencegah database dari serangan injeksi dan enkripsi selama login pasti akan meningkatkan keamanan dari akses tidak sah.ECC digunakan untuk mengenkripsi data atau informasi yang disimpan dalam database. Saat database dienkripsi oleh Elliptical Curve Cryptography (ECC) yang dibutuhkan oleh pengguna kunci yang benar untuk mengakses informasi yang disimpan di basis data . Dalam karya ini Elliptical Curve Cryptography digunakan untuk mengenkripsi data yang disimpan dalam database. Pada dasarnya ECC mengubah data menjadi bentuk yang tidak dapat dibaca yaitu data dienkripsi. Manfaat utama menggunakan ECC adalah jika menggunakan kata kunci yang tidak tepat , teks sandi tidak dapat diuraikan atau didekripsi bahkan jika penyerang 23 meretas basis data. i kombinasi ini merpakan teknik enkripsi yang diterapkan di Internet database untuk melindungi database dari serangan injeksi SQL Batasan pendekatan enkripsi yang terintegrasi, yaitu kombinasi dua enkripsi untuk mengamankan basis data Paper ke-14 Judul Paper Analisis Forensik Jaringan Studi Kasus Serangan SQL Injection pada Server Universitas Gadjah Mada Penulis Resi Utami Putri *1 , Jazi Eko Istiyanto 2 [8] URL Jurnal/ IJCCS, Vol.6, No.2, July 2012, pp. 101~112 Konferensi ISSN: 1978-1520 Permasalahan Serangan SQL Injection sering terjadi pada server Universitas Gadjah Mada, diperlukan suatu analasis untuk dapat mengidentifikasi pola serangan sebagai bahan acuan dalam membuat sistem pertahanan Kontribusi Memberikan informasi detail mengenai serangan SQL Injection pada server univ Gadjah Mada Metode/Solusi Static forensik Hasil Utama Berdasarkan hasil penelitian yang telah dilakukan, terdapat 68 IP address yang melakukan tindakan illegal SQL Injection pada server www.ugm.ac.id. Kebanyakan penyerang menggunakan tools SQL Injection yaitu Havij dan SQLMap sebagai tool otomatis untuk memanfaatkan celah keamanan pada suatu website. Selain itu, ada yang menggunakan skrip Python yaitu berasal dari benua Eropa yaitu di Romania. Batasan Terbatas pada server univ Gadjah Mada 24 Paper ke-15 Judul Paper Detection and Prevention of SQL Injection Attack: A Survey Penulis Zainab S. Alwan 1 , Manal F. Younis 2[4] URL www.ijcsmc.com Jurnal/ International Journal of Computer Science and Mobile Konferensi Computing Permasalahan Serangan SQL injection semakin beragam, perlu pengetahuan yang luas mengenai jenis-jenis serangan dan cara mencegahnya Kontribusi Memberikan informasi mengenai jenis serangan SQL Injection dan cara pencegahanya Metode/Solusi Studi Pustaka Hasil Utama informasi mengenai jenis serangan SQL Injection dan cara pencegahanya Batasan SQL Injection Paper ke-16 Judul Paper CASE STUDY OF SQL INJECTION ATTACKS Penulis Sonakshi*, Rakesh Kumar, Girdhar Gopal[10] URL Jurnal/ INTERNATIONAL JOURNAL Konferensi SCIENCES & RESEARCH OF ENGINEERING TECHNOLOGY Permasalahan Serangan SQL injection semakin beragam, perlu pengetahuan yang luas mengenai jenis-jenis serangan dan cara mencegahnya Kontribusi Memberikan informasi mengenai jenis serangan SQL Injection dan cara pencegahanya 25 Metode/Solusi Studi Pustaka Hasil Utama informasi mengenai jenis serangan SQL Injection dan cara pencegahanya Batasan SQL Injection Paper ke-17 Judul Paper ANALISIS FORENSIK SERANGAN SQL INJECTION MENGGUNAKAN METODE STATIS FORENSIK Penulis Imam Riadi, Rusydi Umar, Wasito Sukarno.[11] URL Jurnal/ Prosiding Konferensi Conference 1 st Program Interdisciplinary Pascasarjana Postgraduate Universitas Student Muhammadiyah Yogyakarta (PPs UMY) ISBN: 978-602-19568-2-3 Permasalahan Website Kemahasiswaan Universitas Ahmad Dahlan merupakan website yang digunakan sebagai media dan sarana informasi komunikasi Mahasiswa. Sehingga website ini dapat diakses secara luas dan memerlukan keamanan website. Terdapat beberapa cara yang dapat digunakan untuk melakukan pengujian terhadap keamanan website tersebut. Salah satunya adalah dengan melakukan SQL (Structure Query Language) Injection. SQL Injection adalah sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi[3]. Celah ini terjadi ketika masukan pengguna tidak disaring secara benar dari karakter-karakter pelolos bentukan string yang diimbuhkan dalam 26 pernyataan SQL atau masukan pengguna tidak bertipe kuat dan karenanya dijalankan tidak sesuai harapan. Dengan menggunakan SQL Injection ini maka akan dapat mengetahui apakah website tersebut pernah atau sedang ada penyerang yang memanipulasi data. Kontribusi Informasi penyerangan SQL Injection Metode/Solusi METODE STATIS FORENSIK Hasil Utama Berdasarkan hasil penelitian terdapat beberapa ip address yang masuk melalui celah keamanan website kemahasiswaan. Penyerang menggunakan tool SQL Injection. Batasan Pada situs akademik universitas ahmad dahlan Paper ke-18 Judul Paper CODDLE: Code-Injection Detection With Deep Learning Penulis STANISLAV ABAIMOV AND GIUSEPPE BIANCHI[12] URL Ieee.org Jurnal/ IEE Acces Konferensi Permasalahan Serangan SQL Injection sudah menggunakan teknologi kecerdasan buatan, untuk itu diperlukan sistem pencegahan yang juga menggunakan teknologi kecerdasan buatan agar dapat belajade dengan sendirinya jika ada serangan dengan teknik baru Kontribusi Alternatif pencegahan SQL Injection dengan deep learning Metode/Solusi Deep learning 27 Hasil Utama Framework CODDLE: Code-Injection Detection With Deep Learning Batasan Deep learning Paper ke-19 Judul Paper SQL Injection Detection and Prevention Using Input Filter Technique Penulis Shruti Bangre, Alka Jaiswal URL Jurnal/ International Journal of Recent Technology and Engineering Konferensi (IJRTE) ISSN: 2277-3878, Volume-1, Issue-2, June 2012 Permasalahan Serangan SQL Injection banyak terjadi melalui input kode perintah yang berbahaya dan sistem tidak bisa mencegah, diperlukan suatu sistem agara hal ini bisa diatasi Kontribusi Alternatif pencegahan SQL Injection Metode/Solusi Filter masukan Hasil Utama Berhasil membuat sistem yang dapat memblok kode perintah SQL yang berbahaya Batasan Metode input filter Paper ke-20 Judul Paper PENYANDIAN PESAN MENGGUNAKAN KOMBINASI ALGORITMA RSA YANG DITINGKATKAN DAN ALGORITMA ELGAMAL Penulis Jafarudin Firdaus 1 , Rini Marwati 2 , Sumanang Muhtar Gozali 3[13] URL 28 Jurnal/ EurekaMatika,Vol.6,No.1,2018 Konferensi Permasalahan Kemanan pesan menjadi sangat penting saat ini, salah satu cara untuk mengamankan menyandikan pesan pesan adalah (kriptografi) dengan dengan algoritma.Kriptografi adalah ilmu dan seni untuk menjaga keamanan pesan. Algoritma kriptografi yang populer saat ini adalah algoritma RSA yang didasarkan pada masalah pemfaktoran bilangan bulat dan algoritma ElGamal yang didasarkan pada masalah logaritma diskrit. Kontribusi Alternatif penyandian pesan Metode/Solusi KOMBINASI ALGORITMA RSA YANG DITINGKATKAN DAN ALGORITMA ELGAMAL Hasil Utama sebuah algoritma baru kriptografi yang menggabungkan algoritma ElGamal dengan algoritma RSA yang ditingkatkan menggunakan tiga bilangan prima Batasan Hanya kombinasi 2 algoritma Paper ke-21 Judul Paper MODEL MODIFIKASI KRIPTOGRAFI ALGORITMA RSA UNTUK KEAMANAN DATA PADA DATABASE E-VOTING Penulis Martono[1] URL 29 Jurnal/ MEDIASISFO Konferensi Vol. 11, No. 2, Oktober 2017 Permasalahan Keamanan database pada situs e-voting menjadi hal mutlak, oleh katena itu diperlukan suatu metode untuk dapat mengamankan database dari serangan SQL Injection Kontribusi Model keamanan database E-Voting Metode/Solusi Metode penelitian eksperimen serta metode pengujian sistem yang digunakan adalah metode black box Hasil Utama Model keamanan database E-Voting Batasan Hanya enkripsi database 30 Beragam pendekatan untuk menyelesaikan serangan SQL Injection, selain memiliki kelebihan masing-masing masih menyisakan beberapa kekurangan, misalnya pada framework considroid baru bisa menyelesaikan serangan SQL injection klasik belum bisa mengatasi serangan yang menggunakan metode terbaru, kemudian pada framework DIVIA memiliki sistem deteksi yang kuat hanya pengamanan database yang belum ada sehingga jika sistem keamana dapat ditembus maka data akan mudah diakses, kemudian dalam enkripsi database menggunakan RSA dan Elgamal sudah menghasilkan kombinasi algoritma yang kuat dan cepat sehingga dapat dikombinasikan dengan framework sistem deteksi. berdasarkan uraian tersebut peniliti tergagas untuk menggabungkan framework pendeteksi serangan dengan algoritma untuk mengenkripsi database. Untuk mewujudkan gagasan tersebut, peneliti mengkombinasikan framework DIAVA yang berdasarkan hasil penelitain dapat mendeteksi serangan SQL Injection dengan cepat dan tepat dengan kombinasi algoritam RSA dan Elgamal yang berdasarkan penelitian dapat mengenkripsi data dengan cepat dan kuat untuk mengamankan database e-voting. 31 BAB 3. METODOLOGI PENELITIAN III.1 Peta Jalan (Roadmap) Penelitian Penelitian yang diajukan dalam proposal ini merupakan bagian dari peta jalan penelitian KK Jaringan Komputer dan Digital Forensik jurusan Informatika Universitas Siliwangi . Dimana kajian database merupakan bagian dari rencana pengabdian kepada masyarakt, wilayah dan kampus. Secara keseluruhan roadmap dapat dilihat pada Gambar III.1. Terdapat 12 kajian penelitian, dan kajian yang akan dilakukan dalam penelitian ini adalah ditandai dengan lingakaran berwarna merah. Gambar III.1 Peta Jalan Penelitian 32 III.2 Tahapan Penelitian Kebaruan yang ditargetkan dari penelitian yang diusulkan ini adalah penciptaan suatu model perangkat lunak yang dapat mendeteksi serangan SQL Injection dan mengamankan database e-voting. Tahapan penelitian secara keseluruhan disajikan pada Gambar III.3. tmenunjukan bagan air (fishbone diagram) dari penelitian ini. Gambar III.2 Tahap Penelitian 33 Gambar III.3 Fishbone Diagram 34 BAB IV. JADWAL DAN RENCANA CAPAIAN PENELITIAN IV.1 Jadwal Penelitian Berdasarkan peta jalan, tahapan dan bahan alir penelitian yang telah ditetapkan rencana pelaksanaan penelitian yang akan dilakukan seperti ditunjukkan pada tabel IV.1 Tabel IV.1 Jadwal Kegiatan Penelitian NO JENIS KEGIATAN BULAN KE 1 2 3 4 5 6 7 8 9 10 11 12 Studi literatur Mendefinisikn persoalan penelitian Pembangunan model implementasi Analisis hasil Membuat paper untuk publikasi Pembuatan laporan IV.2 Rencana Capaian Penelitian Target capaian dari penelitian ini adalah suatu model atau prototipe perangkat lunak. Sebagai bentuk evaluasi dan pengakuan atas hasil kajian akademis, karya ini akan dipublikasikan secara ilmiah dan diterapkan seperti dapat dilihat pada Tabel IV.2 35 Tabel IV.2 Rencana Target Capaian Penelitian No Jenis Luaran 1 Indikator Capaian Publikasi Ilmiah Nasional TS TS+1 Submitted Reviewed Terakreditasii 2 Pemakalah dalam Temu Nasional / Accepted Submitted Ilmiah Reviewed / Accepted 3 Teknologi Tepat Guna 4. Model / Purwarupa / Draft Produk Produk Produk 1,2 3,4,5 Desain / Karya Seni / Rekayasa Sosial 5. Tingkat Kesiapan Teknologi (TKT) Catatan : TS : Tahun sekarang (tahun pertama penelitian) TKT 1 : Prinsip dasar dari teknologi diteliti dan dilaporkan. TKT 2 : Formulasi konsep dan/ atau aplikasi formulasi. TKT 3 : Pembuktian konsep fungsi dan/atau karakteristik penting secara analitis dan eksperimental. TKT 4 : Validasi komponen/ subsistem dalam lingkungan laboratorium. TKT 5 : Validasi komponen/subsistem dalam suatu lingkungan yang relevan. TKT 6 : Demonstrasi model atau prototipe sistem/ subsistem dalam suatu lingkungan yang relevan. TKT 7 : Demonstrasi prototipe sistem dalam lingkungan sebenarnya. TKT 8 : Sistem telah lengkap dan handal melalui pengujian dan demonstrasi dalam lingkungan sebenarnya. TKT 9 : Sistem benar-benar teruji/ terbukti melalui keberhasilan pengoperasian. 36 REFERENSI [1] Martono, “Model Modifikasi Kriptografi Algoritma Rsa Untuk Keamanan Data Pada Database E-Voting,” J. Ilm. Media Sisfo, vol. 11, no. 2, pp. 896– 910, 2017, [Online]. Available: http://ejournal.stikom-db.ac.id/index.php/mediasisfo/article/view/245. [2] W. G. J. Halfond, J. Viegas, and A. Orso, “A Classification of SQL Injection Attacks and Countermeasures,” Prev. Sql Code Inject. By Comb. Static Runtime Anal., p. 53, 2008. [3] “NEWS : Situs Web Jurnal KPU RI Disusupi Hacker.” https://cyberthreat.id/read/6984/Situs-Web-Jurnal-KPU-RI-DisusupiHacker (accessed Jun. 06, 2020). [4] Z. S. Alwan and M. F. Younis, “Detection and Prevention of SQL Injection Attack: A Survey,” Int. J. Comput. Sci. Mob. Comput., vol. 6, no. 8, pp. 5– 17, 2017, [Online]. Available: https://www.ijcsmc.com/docs/papers/August2017/V6I8201701.pdf. [5] H. Gu et al., “DIAVA: A Traffic-Based Framework for Detection of SQL Injection Attacks and Vulnerability Analysis of Leaked Data,” IEEE Trans. Reliab., vol. 69, no. 1, pp. 188–202, 2019, doi: 10.1109/tr.2019.2925415. [6] L. Sjöström, “Detecting SQL Injection Attacks in VoIP using Real-time Deep Packet Inspection,” 2019. [7] H. Gupta, S. Mondal, S. Ray, B. Giri, R. Majumdar, and V. P. Mishra, “Impact of SQL Injection in Database Security,” Proc. 2019 Int. Conf. Comput. Intell. Knowl. Econ. ICCIKE 2019, pp. 296–299, 2019, doi: 10.1109/ICCIKE47802.2019.9004430. [8] S. Universitas, G. Mada, and G. Mada, “Analisis Forensik Jaringan Studi Kasus Serangan SQL Injection pada Server Universitas Gadjah Mada,” IJCCS (Indonesian J. Comput. Cybern. Syst., vol. 6, no. 2, 2013, doi: 10.22146/ijccs.2157. [9] M. S. Aliero, I. Ghani, K. N. Qureshi, and M. F. Rohani, “An algorithm for detecting SQL injection vulnerability using black-box testing,” J. Ambient 37 Intell. Humaniz. Comput., vol. 11, no. 1, pp. 249–266, 2020, doi: 10.1007/s12652-019-01235-z. [10] I. Journal and O. F. Engineering, “International journal of engineering sciences & research technology,” vol. 4, no. 1, pp. 2–5, 2015. [11] I. Riadi, R. Umar, and W. Sukarno, “Analisis Forensik Serangan Sql Injection Menggunakan Metode Statis Forensik,” Pros. Interdiscip. Postgrad. Student Conf. 1st, vol. I, no. I, pp. 102–103, 2016. [12] S. Abaimov and G. Bianchi, “CODDLE: Code-Injection Detection with Deep Learning,” IEEE Access, vol. 7, pp. 128617–128627, 2019, doi: 10.1109/ACCESS.2019.2939870. [13] D. A. N. A. Elgamal, “Penyandian Pesan Menggunakan Kombinasi Algoritma Rsa Yang Ditingkatkan Dan Algoritma Elgamal,” J. EurekaMatika, vol. 6, no. 1, pp. 23–32, 2018. [14] “An_approach_to_secure_multi-tier_websites_through_SQLInjection_detection_and_prevention.pdf.” . [15] M. A. Kausar, M. Nasar, and A. Moyaid, “SQL injection detection and prevention techniques in ASP.NET web application,” Int. J. Recent Technol. Eng., vol. 8, no. 3, pp. 7759–7766, 2019, doi: 10.35940/ijrte.C6319.098319. [16] L. Batista et al., “Fuzzy neural networks to create an expert system for detecting attacks by SQL Injection,” Int. J. Forensic Comput. Sci., vol. 13, no. 1, pp. 8–21, 2018, doi: 10.5769/j201801001. [17] H. Gao, J. Zhu, L. Liu, J. Xu, Y. Wu, and A. Liu, “Detecting SQL injection attacks using grammar pattern recognition and access behavior mining,” Proc. - IEEE Int. Conf. Energy Internet, ICEI 2019, pp. 493–498, 2019, doi: 10.1109/ICEI.2019.00093. [18] S. O. Uwagbole, W. J. Buchanan, and L. Fan, “Numerical encoding to Tame SQL injection attacks,” Proc. NOMS 2016 - 2016 IEEE/IFIP Netw. Oper. Manag. Symp., no. April, pp. 1253–1256, 2016, doi: 10.1109/NOMS.2016.7502997. [19] E. Edalat, B. Sadeghiyan, and F. Ghassemi, “ConsiDroid: A Concolic-based Tool for Detecting SQL Injection Vulnerability in Android Apps,” pp. 1–10, 2018, [Online]. Available: http://arxiv.org/abs/1811.10448. 38 [20] S. G. Nugraha, S. Djanali, and A. Pratomo, “Sistem Pendeteksi dan Pencegah Serangan SQL Injection dengan Penghapusan Nilai Atribut Query SQL dan Honeypot,” vol. 2, no. 1, pp. 1–5, 2013. [21] Y.-S. JANG, “Detection of SQL Injection Vulnerability in Embedded SQL,” IEICE Trans. Inf. Syst., vol. E103.D, no. 5, pp. 1173–1176, 2020, doi: 10.1587/transinf.2019edl8143. 39
