Analisis Keamanan Aplikasi e-STR Kementerian Kesehatan: Studi Kasus SQL Injection, Stored XSS, dan Nonce Reuse pada Sistem Registrasi Tenaga Kesehatan

Abstract

Keamanan aplikasi web pemerintah menjadi hal yang semakin penting seiring meningkatnya digitalisasi layanan publik. Penelitian ini dilakukan untuk menguji tingkat keamanan pada sistem e-STR Kemenkes, sebuah platform digital untuk registrasi tenaga kesehatan, yang sedang dalam tahap pengembangan. Pengujian dilakukan melalui pendekatan black-box, di mana sistem diuji dari sisi luar tanpa akses ke kode sumber. Fokus pengujian mencakup antarmuka pengguna dan endpoint API.Hasil pengujian menunjukkan adanya tiga kerentanan kritis. Pertama, SQL Injection memungkinkan penyerang menyisipkan perintah berbahaya ke dalam basis data melalui parameter yang tidak aman. Kedua, Stored XSS ditemukan pada form admin, di mana skrip berbahaya yang dimasukkan dapat dieksekusi kembali di sisi pengguna. Ketiga, reuse pada nonce menunjukkan bahwa token autentikasi masih bisa digunakan ulang dalam jangka waktu yang lama, membuka peluang serangan ulang atau replay attack.Temuan ini menandakan bahwa aspek keamanan belum sepenuhnya menjadi bagian dari desain awal sistem. Oleh karena itu, dibutuhkan perbaikan menyeluruh, mulai dari sanitasi input, penggunaan query yang aman, hingga pengelolaan autentikasi yang lebih ketat. Pengujian ini juga menegaskan pentingnya integrasi keamanan sejak awal proses pengembangan aplikasi.