Kebocoran data di lingkungan akademik menimbulkan ancaman serius terhadap integritas dan kerahasiaan informasi. Insiden penyisipan halaman ilegal pada salah satu subdomain Universitas Lambung Mangkurat menunjukkan adanya ancaman terhadap sistem digital, termasuk aplikasi APIK yang digunakan untuk pengelolaan tugas akhir mahasiswa. Aplikasi ini belum pernah melalui proses pengujian keamanan. Penelitian ini bertujuan untuk mengidentifikasi dan menganalisis kerentanan pada sistem APIK dengan menggunakan Information System Security Assessment Framework (ISSAF) yang dipadukan dengan model DREAD untuk menentukan tingkat risikonya. Uji penetrasi dilakukan menggunakan alat Zed Attack Proxy (ZAP) guna mendeteksi celah keamanan. Hasil penelitian menunjukkan bahwa kerentanan SQL Injection – SQLite memiliki skor risiko tertinggi sebesar 2,4, diikuti oleh Missing Anti-Clickjacking Header (2,0) dan Content Security Policy (CSP) Header Not Set (1,8). Kerentanan lain yang berada dalam kategori low memiliki skor rata-rata 1,6.