Kompleksitas ekosistem online meningkatkan risiko keamanan web application, terbukti dari kebocoran data dan penyisipan tautan judi online. Estimasi kerugian akibat kejahatan siber di Indonesia meningkat dari $3,43 miliar menjadi $6,48 miliar (2018-2028). CMS PIH UIN Syarif Hidayatullah Jakarta menjadi korban serangan siber, di mana eksploitasi melalui CMS menginfeksi banyak subdomain dengan tautan judi online. Meskipun telah bermigrasi ke CMS baru, PIH tetap memerlukan uji keamanan serta panduan prioritas remediasi. Oleh karena itu, uji Vulnerability Assessment and Penetration Testing (VAPT) diperlukan untuk menjaga Confidentiality, Integrity, dan Availability (CIA) data. Penelitian ini mengevaluasi keamanan web application dengan Zero Entry Hacking (ZEH) dan NIST CSF 2.0, serta merekomendasikan mitigasi berbasis standar internasional guna mencegah kebocoran data dan menjaga reputasi organisasi. Hasil pengujian menemukan tujuh kerentanan pada CMS dengan skor CVSS 4.0 tertinggi 8.8 dan terendah 2, terdiri atas dua tingkat tinggi, empat menengah, dan satu rendah. Pemetaan NIST CSF 2.0 menunjukkan bahwa CMS memerlukan perbaikan pada fungsi Protect (PR), terutama dalam Data Security (DS), Platform Security (PS), dan Identity Management, Authentication, and Access Control (AA). Penelitian ini merekomendasikan penggabungan ZEH dan NIST CSF 2.0 untuk identifikasi kerentanan dan perbaikan berbasis CIA yang komprehensif dan terstruktur, penggunaan OWASP ZAP dan Acunetix untuk meningkatkan deteksi kerentanan, serta penerapan Vulnerability Disclosure Program (VDP) dengan melibatkan peneliti eksternal untuk keberlanjutan penelitian.
Kata Kunci: NIST CSF 2.0, penetration testing, vulnerability assessment, web application, zero entry hacking.