Pengujian Keamanan dan Kinerja Aplikasi Web pada Sistem Akuntansi BHS Berbasis Back-End MVC Framework

Abstract

Penelitian ini bertujuan untuk menguji kinerja, keamanan, dan skalabilitas aplikasi Web Akuntansi BHS berbasis Laravel dan MySQL. Pengujian dilakukan dengan pendekatan Software Testing Life Cycle (STLC), mencakup tahap requirement analysis, test planning, test case development, environment setup, test execution, dan test cycle closure. Pengujian kinerja menggunakan Apache JMeter pada server lokal dan live server, sedangkan pengujian keamanan menggunakan OWASP ZAP dengan metode passive scan dan fuzzing. Hasil pengujian kinerja menunjukkan bahwa live server mampu menangani hingga 50 pengguna dengan waktu respons di bawah 1 detik tanpa error, namun pada 100 dan 1000 pengguna terjadi lonjakan error akibat pemblokiran oleh WAF/CDN. Server lokal menunjukkan keterbatasan pada beban tinggi dengan waktu respons yang sangat tinggi dan tingkat error signifikan. Pengujian keamanan menemukan kerentanan seperti penggunaan library JavaScript rentan, konfigurasi CSP yang lemah, dan header keamanan yang hilang, serta potensi XSS pada beberapa form input.

This study aims to evaluate the performance, security, and scalability of the Laravel and MySQL-based BHS Accounting Web Application. The testing followed the Software Testing Life Cycle (STLC) approach, covering requirement analysis, test planning, test case development, environment setup, test execution, and test cycle closure. Performance testing was conducted using Apache JMeter on both local and live servers, while security testing employed OWASP ZAP through passive scanning and fuzzing. Performance test results indicate that the live server can handle up to 50 users with sub-second response times and zero errors. However, at 100 and 1000 users, error rates spiked due to WAF/CDN blocking. The local server exhibited significant limitations under high load, with extremely high response times and notable error rates. Security testing revealed vulnerabilities such as outdated JavaScript libraries, weak CSP configurations, missing security headers, and potential XSS in several input forms.