digilib@itb.ac.id +62 812 2508 8800

IDENTIFIKASI RISIKO BUSINESS LOGIC VULNERABILITY PADA HTTP TRAFFIC MENGGUNAKAN LARGE LANGUAGE MODEL DENGAN PENDEKATAN RETRIEVAL-AUGMENTED GENERATION

24 views
Save At List
Penulis : Alifia Rahmah [23524055]
Kontributor / Dosen Pembimbing :
  • Ir. Yudistira Dwi Wardhana Asnar, S.T, Ph.D.
Jenis Koleksi : Tesis
Tahun Terbit : 2026
Penerbit : Informatika
Fakultas : Sekolah Teknik Elektro dan Informatika
Subjek :
Kata Kunci : business logic vulnerabilities, HTTP traffic, large language model, retrieval-augmented generation
Sumber :
Staf Input/Edit : Irwan Sofiyan  
File : 1 file
Tanggal Input : 13 Mar 2026

Business Logic Vulnerabilities (BLV) merupakan jenis kerentanan yang muncul akibat cacat perancangan alur bisnis aplikasi, bukan kesalahan sintaksis pada kode. Pendekatan pemindaian keamanan aplikasi yang umum digunakan saat ini, seperti Static Application Security Testing (SAST) dan Dynamic Application Security Testing (DAST) konvensional, umumnya efektif mengidentifikasi kerentanan sintaksis, namun masih memiliki titik buta yang besar terhadap BLV. Hal ini disebabkan karena BLV menuntut pemahaman konteks proses bisnis dan urutan interaksi pengguna yang tidak dapat ditangkap hanya dengan pencocokan pola atau fuzzing heuristik. Penelitian ini mengusulkan sebuah teknik DAST berbasis Large Language Model (LLM) untuk mengidentifikasi BLV dari rekaman interaksi pengguna dalam bentuk HTTP Archive (HAR). Kontribusi utama penelitian ini adalah: (1) pendekatan penggunaan HAR, LLM, dan Retrieval-Augmented Generation (RAG) sebagai memori eksternal untuk mempertahankan konteks pada interaksi yang panjang, dan (3) evaluasi empiris kinerja LLM dengan RAG dalam mengidentifikasi BLV dibandingkan alat DAST konvensional. Evaluasi dilakukan pada dua aplikasi uji, yaitu PortSwigger Web Security Academy BLV Labs dan OWASP Juice Shop. Hasil pengujian menunjukkan bahwa LLM yang diintegrasikan dengan RAG mampu mengidentifikasi berbagai kategori potensi BLV, khususnya yang berkaitan dengan state manipulation dan broken access control. Pada PortSwigger BLV Labs, pendekatan LLM dengan RAG mencapai detection coverage sebesar 77,7%, sedangkan pada Juice Shop mencapai 45%, sementara ZAP memiliki tingkat identifikasi mendekati 0% untuk BLV. Temuan ini menunjukkan bahwa kemampuan semantic reasoning LLM, yang diperkuat dengan memori eksternal melalui RAG, mampu menjembatani sebagian gap yang tidak dapat ditangani oleh pemindai keamanan tradisional. Namun, efektivitas tetap bergantung pada kelengkapan rekaman HAR dan kualitas knowledge base yang digunakan, yang memberikan arah pengembangan lanjutan pada aspek eksplorasi otomatis dan pengembangan knowledge base.

Artikel Terkait