Keamanan aplikasi web menjadi aspek krusial dalam sistem informasi modern,terutama pada komponen basis data yang rentan terhadap serangan injeksi SQL (SQL Injection). Penelitian ini bertujuan mengidentifikasi kerentanan injeksi SQL (SQLi) pada API aplikasi web yang terhubung basis data sekaligus mengevaluasi efektivitas OWASP Zed Attack Proxy (ZAP) sebagai alat bantu deteksi. ZAP dikonfigurasi khusus menggunakan add-on Advanced SQL Injection Scanner, scan policy yang terfokus pada kategori injection, dan mode ATTACK untuk otomatisasi eksploitasi. Aplikasi web target yang digunakan adalah OWASP Juice Shop, sebuah aplikasi yang sengaja dibuat rentan yang diinstal pada Ubuntu Server di VirtualBox. Selama pengujian, seluruh lalu lintas HTTP ditangkap menggunakan tcpdump dan ditinjau ulang lewat Wireshark.

Hasil penelitian secara jelas menunjukkan efektivitas ZAP, dengan kustomisasi scan policy dan add-on SQLi, dalam mendeteksi kerentanan SQLi. Hasil pemindaian ZAP menghasilkan 17 peringatan, termasuk tiga high-risk alerts, yaitu Boolean-based Blind SQLi pada parameter pencarian, Error-based SQLi yang menimbulkan pesan kesalahan sintaks SQLite, dan false-positive terhadap metadata-exposure (SSRF via header). Analisis paket tangkapan berhasil memverifikasi dua tipe payload boolean memberikan respons data berbeda, sedangkan payload error menimbulkan “SQLITE_ERROR” beserta kueri yang terkorupsi. Sementara indikasi metadata-exposure tidak memicu bocoran data sesungguhnya, namun memperlihatkan kemampuan deteksi otomatis ZAP yang melampaui konfigurasi eksplisit. Analisis PCAP menjadi komponen esensial dalam melakukan verifikasi temuan otomatis dan memberikan wawasan mendalam tentang mekanisme eksploitasi.

Web application security has become a crucial aspect of modern information systems, particularly in database components that are vulnerable to SQL injection (SQLi) attacks. This research aims to identify SQLi vulnerabilities in web application APIs connected to databases while evaluating the effectiveness of OWASP Zed Attack Proxy (ZAP) as a detection tool. ZAP was specifically configured using the Advanced SQL Injection Scanner add-on, a scan policy focused on the injection category, and ATTACK mode for automated exploitation. The target web application used was OWASP Juice Shop, a deliberately vulnerable application installed on Ubuntu Server in VirtualBox. During testing, all HTTP traffic was captured using tcpdump and reviewed through Wireshark.

The research results clearly demonstrate ZAP's effectiveness, with customized scan policy and SQLi add-on, in detecting SQLi vulnerabilities. ZAP scanning generated 17 alerts, including three high-risk alerts: Boolean-based Blind SQLi on search parameters, Error-based SQLi that triggered SQLite syntax error messages, and a false-positive for metadata-exposure (SSRF via header). Packet capture analysis successfully verified that two types of boolean payloads provided different data responses, while error payloads triggered "SQLITE\_ERROR" along with corrupted queries. Although the metadata-exposure indication did not trigger actual data leakage, it demonstrated ZAP's automatic detection capabilities that exceeded explicit configuration. PCAP analysis serves as an essential component in verifying automated findings and providing deep insights into exploitation mechanisms.

Kata Kunci : OWASP ZAP, Injeksi SQL, Keamanan Basis Data, Pengujian Penetrasi