SQL Injection (SQLi) masih menjadi ancaman utama pada aplikasi web. Penelitian ini bertujuan menganalisis kemampuan OWASP ZAP dalam mendeteksi kerentanan SQLi pada OWASP Juice Shop dan DVWA, serta menilai efektivitas deteksinya secara kuantitatif. Permasalahan yang diangkat meliputi jenis-jenis SQLi yang dapat terdeteksi oleh ZAP dan seberapa efektif ZAP mengidentifikasi serta memvalidasi serangan tersebut. Metode yang digunakan adalah eksperimen terkontrol dengan SQLMap sebagai pengirim payload empat varian (Error-Based, Union-Based, Boolean-Based Blind, Time-Based Blind). Seluruh request dan response diproksi melalui ZAP (passive/active scan). Validasi manual diterapkan untuk menetapkan ground truth per varian antara lain melalui indikator HTTP 500 disertai pesan error basis data, kemunculan marker UNION pada respons, perbedaan konten TRUE/FALSE, atau ΔRTT yang signifikan. Efektivitas ZAP dievaluasi menggunakan confusion matrix (TP, FP, FN, TN) dan metrik precision, recall, serta F1-score. Hasil menunjukkan ZAP unggul pada varian yang menimbulkan indikasi eksplisit terutama Error-Based ditandai respons 500 dan pesan error SQL; sebagian payload Union-Based juga terangkat karena pola respons serupa. Sebaliknya, pada Boolean-Based dan Time-Based, deteksi otomatis ZAP terbatas dan memerlukan analisis manual, sehingga berpotensi menimbulkan false negative. Disimpulkan bahwa ZAP efektif sebagai detektor awal kerentanan SQLi, namun konfirmasi akhir sebaiknya dikombinasikan dengan SQLMap dan validasi manual agar penilaian lebih akurat dan komprehensif.
Copyrights © 2026