Eksploitasi terhadap aplikasi web dapat dirumuskan menjadi attack tree. Penelitian ini bertujuan untuk mengetahui relasi attack tree dengan karakter eksploitasi berdasarkan metrik time dan cost. Penelitian berdasarkan percobaan eksploitasi pada platform DVWA. Tahapan eksploitasi digunakan untuk meyusun attack tree. Penyusunan attack tree berdasarkan kondisi WAF dan tanpa WAF. Attack tree disusun berdasarkan lima eksploitasi yaitu SQL Injection, XSS (Reflected),Command Injection, CSRF, dan Brute Force. Hasil analisis tanpa WAF menghasilkan XSS(Reflected) attack treemenempati posisi pertama dengan skor 53,69. SQL Injection attack tree menempati urutan terakhir dengan skor 682,49. Sedangkan dengan WAF menghasilkan XSS(Reflected) attack tree menempati posisi pertama dengan skor 61,11. SQL Injection attack tree menempati urutan terakhir dengan skor 207,22. Karakteristik dari hasil yang didapatkan bahwa SQL Injection dan brute force terjadi perubahan posisi pada kondisi WAF dikarenakan adanya langkah yang terblokir. Sedangkan untuk attack tree XSS(Reflected), Command Injection, dan CSRF terjadinya kenaikan skor yang disebabkan penggunaan WAF. Dengan demikian relasi ini dapat digunakan untuk melakukan pengkategorian antar attack treeberdasarkan metrik time dan cost. Sehingga hasil dari perbandingan menyimpulkan semakin sedikit nilai skor maka semakin sedikit pula waktu dan langkah attack tree sampai berhasil dilaksanakan. Peluang untuk penelitian selanjutnya dapat berupa pengukuran sub proses sistem.
Kata kunci - attack tree, eksploitasi, metrik, time, cost