Attack tree dapat dirumuskan berdasarkan langkah-langkah eksploitasi yang terjadi pada aplikasi web. Tujuan dari penelitian ini adalah untuk memahami relasi attack tree dan karakter eksploitasi berdasarkan metrik time dan skill level. Platform untuk pengujian eksploitasi menggunakan DVWA dan disusun menjadi attack tree. Penyusunan attack tree dengan kondisi terlindungi dan tidak terlindungi WAF. Attack tree disusun berdasarkan lima kerentanan yaitu SQL Injection, XSS (Reflected), Command injection, CSRF, dan Brute force. Hasil analisis dengan kondisi tidak dilindungi WAF menyimpulkan XSS (Reflected) attack tree menempati urutan pertama dengan skor 131,92. SQL Injection attack tree menempati urutan terakhir dengan skor 1727,56. Sedangkan dengan WAF SQL Injection attack tree menempati urutan pertama dengan skor 54. Brute force attack tree menempati urutan terakhir dengan skor 319,51. Karakteristik dari attack tree command injection terjadi perubahan pemeringkatan dengan penerapan WAF dengan melakukan filterisasi terhadap langkah yang dianggap berbahaya terhadap sistem. Sedangkan pada attack tree SQL Injection, XSS (Reflected), CSRF, dan Brute Force. WAF melakukan pemblokiran terhadap langkah berbahaya terhadap sistem dan tidak sah. Hasil dari perbandingan menyimpulkan semakin sedikit nilai skor maka semakin mudah tingkat kemampuan penyerang untuk melakukan eksploitasi pada attack tree dapat berhasil dilakukan. Kelanjutan penelitian dapat berupa merinci langkah eksploitasi menggunakan CVSS score sebagai perhitungan skill level dan pengukuran parameter menggunakan IDS sebagai salah satu fitur firewall.