4. Kesalahan perilaku behavior atau kesalahan kinerja
5. Inisialisasi dan pemutusan kesalahan
Tes ini dirancang untuk menjawab beberapa pertanyaan-pertanyaan berikut ini: 1.
Bagaimana validitas fungsional diuji? 2.
Bagaimana perilaku dan kinerja sistem diuji? 3.
Apa kelas input akan membuat kasus uji yang baik? 4.
Apakah sistem sensitive terhadap nilai input tertentu? 5.
Bagaimana batas-batas kelas data yang terisolasi? 6.
Kecepatan dan volume data seperti apa yang dapat ditolerir sistem? 7.
Efek apakah yang akan menspesifikasikan kombinasi data dalam sistem operasi?
2.8.3 Gray-Box testing Gray-Box testing Adalah metode yang merupakan kombinasi dari Black-box testing
dan White-box testing. Dalam pengujian Gray-box testing, struktur internal sebagian dikenal. Ini melibatkan akses ke internal struktur data dan algoritma untuk tujuan
merancang uji kasus, tetapi pengujian pada pengguna atau tingkat Black box adalah tidak. Grey-box, berusaha menggabungkan kedua metode diatas, mengambil
kelebihan keduanya, dan mengetahui kekurangan keduanya. Teknik verifikasi modern menerapkan kombinasi kedua metode untuk pengujian aplikasi.
2.9 Penelitian Terdahulu
Penulis memaparkan beberapa metode yang telah digunakan pada penilitian sebelumnya untuk menguji keamanan aplikasi web dan aplikasi mobile. Seperti yang
tercantum pada tabel 2.1, metode black-box digunakan untuk mengurangi kesalahan dalam mengeksploitasi celah keamanan dan juga untuk lebih meningkatkan kinerja
aplikasi untuk menemukan halaman yang nanti digunakan untuk mendeteksi celah keamanan. Namun, peneliti menggunakan metode black-box testing untuk
memastikan kinerja dan kekuatan dari sebuah teknologi yang digunakan untuk mengetahui kelemahan yang dapat ditimbulkan dari teknologi tersebut.
Akrout et al. 2014, menggunakan metode black box untuk mengidentifikasi kelemahan aplikasi web dan mengelompokkan skenario serangan yang digunakan
untuk aplikasi web tersebut. Metode black box ditawarkan untuk mengurangi number
Universitas Sumatera Utara
of false positives dengan memberikan query dengan tujuan agar eksploitasi tentang celah keamanan berhasil. Dengan menggunakan metode black box, memungkinkan
aplikasi untuk menemukan halaman baru pada web, yang mungkin berisi poin injeksi dan halaman yang rentan.
Pada tahun 2014 Gujrathi, memberikan penjelasan secara rinci kerja dari Heartbleed bug dan bagaimana bug ini dapat mempengaruhi privasi dan integritas
data. Jurnal ini menjelaskan bagaimana seharusnya heartbleed bekerja, dan bagaimana seorang hacker dapat memberikan sebuah script yang dapat mencuri data yang
tersimpan dalam memori server. Gujrathi menjelaskan bagaimana seharusnya user memproteksi diri dari heartbleed bug.
Pada tahun 2008 Suhina et al, mengusulkan sebuah pendekatan untuk menemukan celah keamanan pada aplikasi web dengan clustering halaman web.
Metode yang digunakan bukan seperti teknik pencari kelemahan aplikasi web yang menganalis isi halaman web tetapi dengan menganalis struktur dari halaman web.
Kinerja metode yang diusulkan yaitu menganalisis respon dari struktur halaman, dikelompokkan ke beberapa kategori berdasarkan strukturnya dan menemukan
penyimpangan dari struktur standar halaman. J Bau et al. 2010, State of the Art: Automated Black-Box Web Application
Vulnerability Testing, metode black box bertujuan untuk mendeteksi kelemahan dan menguji efektivitas sistem dalam mendeteksi celah kelemahan seperti Cross-Site
Scripting, SQL Injection, dan bentuk lain dari Cross-Channel Scripting. J Bau et al menyatakan bahwa script atau kode injeksi berhasil disimpan, yang dikemudian akan
di deteksi lagi. Pada tahun 2014 Stephan, menjelaskan bahwa heartbleed bug adalah
kelemahan yang terletak pada teknologi heartbeat yang terdapat pada OpenSSL, dimana terjadi sebuah kesalahan dari server dalam menangani request dari client.
Dijelaskan juga bagaimana seharusnya server dan user menangani bug heartbleed. Pada tahun 2014 Rick, menjelaskan apa itu teknologi OpenSSL heartbeat
dengan kelemahan didalamnya yang disebut dengan heartbleed dan juga versi OpenSSL yang rentan terhadap heartbleed. NASA berkolaborasi dengan Linux,
Google, IBM, Microsoft, etc untuk menyelesaikan krisis yang terdapat dalam OpenSSL
Universitas Sumatera Utara
Tabel 2.1 Penelitian Terdahulu Peneliti
Tahun Judul
Akrout et al 2014
An Automated Black Box Approach for Web Vulnerability Identification and
Attack Scenario Generation Gujrathi
2014 Heartbleed Bug: AnOpenSSL Heartbeat
Vulnerability J Bau et al
2010 State of the Art: Automated Black-Box
Web Application Vulnerability Testing
Suhina et al 2008
Detecting Vulnerabilities
in Web
Applications by Clustering Web Pages
Stephan Wiesand 2014
The Heartbleed
Vulnerability in
OpenSSL
Rick Hess 2014
NASA IVV and the Heartbleed Vulnerability
Universitas Sumatera Utara
BAB I PENDAHULUAN