Tren sistem berbasis API dalam aplikasi web dalam beberapa tahun terakhir terus berkembang. API memungkinkan aplikasi web untuk berinteraksi dengan sistem eksternal untuk memungkinkan integrasi bisnis-ke-bisnis atau sistem-ke-sistem yang mengarah ke beberapa inovasi aplikasi. Namun, tren ini juga hadir dengan permukaan masalah keamanan yang berbeda yang dapat membahayakan tidak hanya aplikasi web, tetapi juga aplikasi seluler pintar maupun IoT yang memanfaatkan API sebagai sumber data operasional. Upaya pembelajaran terhadap keamanan aplikasi pun juga sulit diterapkan karena dibutuhkanya sebuah target pengujian yang dapat dengan sengaja diserang untuk dipelajari kelemahannya secara legal. Penelitian ini mengusulkan sebuah platform edukasi keamanan aplikasi web berbasis API dengan tujuan utama untuk mencakup risiko keamanan yang tidak dibahas pada aplikasi rentan populer seperti DVWA, WebGoat, dan Mutillidae. Platform yang dirancang menjadi 2 aplikasi utama yaitu aplikasi portal dan aplikasi rentan ini diimplementasikan dengan menerapkan kombinasi dari beberapa metodologi seperti metode gamifikasi untuk pembelajaran, metodologi penetration testing terhadap kerentanan API, OWASP risk rating untuk sistem pemberikan skor, dan metode kontainerisasi untuk membantu proses deployment yang efisien. Berdasarkan hasil dari eksperimen yang dilakukan, penelitian ini berhasil memberikan 10 tantangan kerentanan API berdasarkan projek risiko keamanan API OWASP tahun 2019 dengan hasil 3 kategori tingkat peringkat risiko keparahan yang berbeda serta mengungkap beberapa alat state-of-the-art pengujian keamanan API seperti Burp Suite, SQLMap, dan FFUF. Selanjutnya, dari hasil uji performa komputasi dan jaringan, didapatkan hasil bahwa platform yang diusulkan ini mampu di-deploy dalam 3 pilihan hypervisor berbeda yaitu Hyper-V, Windows Subsystem Linux (WSL) 2, dan VirtualBox. Hasil dari eksperimen dari ketiga hypervisor ini menunjukkan bahwa platform yang diusulkan dapat digunakan secara stabil dengan sumber daya komputasi 4GB RAM dan 2 vCPU hingga 100 pengguna bersamaan. Pada pengujian dengan parameter 500 hingga 1000 parameter, didapatkan hasil pengujian yang tidak responsif dengan beberapa permintaan gagal terutama pada Docker yang dijalankan dengan memanfaatkan Hyper-V.