文章总结： 本文介绍Apifox的安装与用法，强调其集API文档、调试、Mock及自动化测试于一体的特性。虽非漏洞扫描器，但能辅助接口重放、参数篡改和逻辑分析。它解决多工具数据同步痛点，通过可视化接口管理帮助发现权限控制与参数校验等隐患，是API安全测试的高效辅助工具。 综合评分： 82 文章分类： 安全工具,WEB安全,应用安全

Apifox安装及基本用法

原创

dcnb dcnb

Web安全基础与实践

2026年1月27日 18:01 广东

Apifox是集API 文档、API 调试、API Mock、API 自动化测试多项实用功能为一体的 API 管理平。旨在通过一套系统、一份数据，解决多个工具之间的数据同步问题。只需在 Apifox 中定义 API 文档，那么 API 调试、API 数据 Mock、API 自动化测试等功能就可以直接使用，无需再次定义。API 文档和 API 开发调试流程在同一个工具内闭环，API 调试完成后即可确保与 API 文档定义完全一致。高效、及时、准确。

从Web 安全的角度来看，Apifox 并不直接提供漏洞扫描或攻击功能，但其在请求重放、参数构造、接口调用和结果分析等方面具有明显优势，能够作为安全测试过程中的重要辅助工具，帮助安全测试人员更清晰地理解 API 行为并发现潜在风险。

Apifox接口测试工具功能概述，如图1：

图1  Apifox功能概述

Apifox 如何解决接口管理痛点：

（1）开发人员接口管理使用(Swagger 工具管理接口)

（2）后端开发人员通过postman 工具，一边开发一边测试

（3）前端开发人员需要Mock 工具提供前端调用

（4）测试人员通过(postman、jmeter)等工具进行接口测试

为了后台开发、前端开发、测试工程师等不同角色更加便捷管理接口，需要通过一个工具作为载体，Apifox工具应运而生实现了API 设计开发测试一体化协作。俗称:Apifox=Postman+Swagger+Jmeter+Mock 工具集成。

具体分工协助：后端开发人员Apifox 定义好接口，前端开发人员根据Apifox 去Mock 数据，后端开发人员直接在Apifox 进行接口联调，测试人员直接在Apifox 工具中编写测试用例，进行接口测试。

优势:通过一套系统、一份数据，解决多个系统之间的数据同步问题。只要定义好接口文档，接口调试、数据 Mock、接口测试就可以直接使用，无需再次定义。

1、Apifox的安装

本文章以Windows10攻击机中安装Apifox为例进行演示。

Apifox支持Windows 64/32、MacOS、Linux操作系统。

Apifox工具分为在线网页版和客户端两个版本，我们使用客户端版本进行演示。

（1）首先访问Virgol的下载页面（链接：https://apifox.com），根据自己操作系统选择对应的版本进行下载，win10直接点击下载windows 64位版本，如图2。

图2  Apifox下载界面

接着只需配置好合适的应用需求和文件安装位置即可，如图3：

图3  Apifox需求配置

Apifox为国产软件，可以关注微信公众号认证登录，或者是使用手机号码/邮箱注册账号登录，如图4：

图4  Apifox登录界面

紧接着就可以创建我们的第一个项目了。

2、常用操作

（1）新建团队/项目

Apifox支持以个人来进行项目操作，也支持共同的团队开发。团队中可以进行成员权限的移交，共享成员间的开发动态。

“项目”是组织和管理 API 接口及相关文档的基本单位。每个项目都代表一个独立的工作空间，你可以在项目中创建、编辑和测试 API 接口，设计和管理 API 文档，并与团队成员协作完成项目。

通过创建多个项目，可以按照不同的需求和功能将API 接口和文档进行分类和归类。这样，你可以更好地组织和管理各类 API，提高工作的效率和可维护性。每个项目都拥有自己独立的设置和权限控制，确保项目的安全性和数据的隐私。

创建项目时，我们可以选择创建新的项目也可以选择从已有的api接口文件项目中导入接口信息。

进入Apifox管理界面后，依次点击主窗口，新建团队，起好团队名即可开始创建我们的第一个项目，如图5：

图5  新建团队操作

（2）新建接口

Apifox创建包，再在包下创建对应的接口，进行编写接口文档，如图6。

在一个接口中，ApiFox 允许你添加以下部分：

接口名称、分组、状态、责任人、服务、标签、说明、请求方法（GET、POST、PATCH、PUT、DELETE、HEAD 等）、请求路径（比如 /hello/world/{world_id}?offset=0&limit=25）、请求参数（Query 与 Path）、请求体、请求头、Cookie、Auth、SSL设置、自动重定向、响应结果（返回结果）。请求路径中填写 ip:port 或 ip:port/project_name 之后的路径。在请求路径中，可以添加请求参数（Query Parameters）和路径参数（Path Parameters），例如 /hello/world/{world_id}?offset=0&limit=25，其中的请求参数 offset、limit 与路径参数 world_id 都会在请求参数部分自动出现。

输入接口文档名称、选择“状态”、“责任人”、“输入标签”、“接口说明”等信息，基本信息操作误区之后操作<保存>，登录验证uuid接口文档编写完成，如图7。

图6  新建接口操作

对于每个请求体（Body）中的字段，可以设置其数据类型、Mock 正则式、高级设置（如下图，可以设置默认值、枚举、数值范围等，可以通过编辑源码直接进行规则设置），如图8

图7  接口文档编写

图8  Body配置

对于接口的响应返回，Apifox也支持设置既定的数据模型，快捷的服用相同返回模型。点击“根目录”栏的高级设置，即可导入数据模型，如图9。

图9  数据模型导入

使用解除关联即可以独立更改引用出来的数据模型。我们定义好的接口，也可以快速分享给其他团队，如图10。

图10  接口文档分享

分享出去的接口文档可以直接访问链接，在线测试运行，也支持直接给出不同语言模式的示例代码，直观准确，如图11。

图11  分享链接功能

对于path参数值的编写，Apifox也不需要重写代码或定义url，直接使用其提供的参数示例，如图12。

图12  快速创建参数功能

同时该参数值也支持加密后的传输，包括md5、base64等主流的加密模式。

（3）自动化测试

Apifox还提供了自动化测试接口的功能，通过点击“+”来新建一个测试场景，按顺序选择测试环境，添加步骤，循环次数，测试接口，即可配置好自动化测试功能。测试环境选择先前新建好的项目进行测试即可，如图13。

图13  自动化调试功能

创建测试场景后可以在其中添加测试步骤。测试步骤中支持导入接口、接口用例、自定义请求和从cURL 导入接口，并且你还可以在步骤中设置测试条件等附加操作。

图14  详细调试窗口

进入测试场景后，点击“添加步骤”并添加接口。你可以选择「从接口导入」和「从接口用例导入」，如图15。

图15  添加步骤选项

你可以选择从当前项目或其他项目导入接口用例。导入接口用例时有两种模式：分别是”复制“和”引用“模式。

以“复制”方式导入接口用例时，接口用例中的参数也会一并复制到测试步骤中，且与原项目内的接口用例数据相互独立。两者的改动互不影响。以“引用”方式导入接口用例时，将直接使用原项目内的接口用例进行请求。

同时，测试场景支持导出 Apifox CLI、Postman、Jmeter 格式数据文件，它们可以在本地环境中或外部持续集成流水线中运行，以便更好地与团队中现有的测试工作流相融合，如图16。

图16  导出到外部操作

3、总结

Apifox 并非传统意义上的漏洞扫描或渗透攻击工具，但其在 API 层面的请求构造、接口分析与测试辅助方面具有重要价值。在当前以前后端分离和 API 驱动为主的 Web 架构中，安全风险往往集中于接口层，单纯依赖自动化扫描工具难以覆盖所有潜在问题。

Apifox 通过可视化方式对 API 接口进行集中管理和调试，使安全测试人员能够更清晰地理解接口的调用逻辑、参数结构和认证方式。在安全测试过程中，测试人员可以借助 Apifox 对接口请求进行重放、参数篡改以及身份信息切换，从而辅助发现接口在权限控制、参数校验和异常处理等方面可能存在的安全隐患。

本文由付宇杰同学投稿。

• END –

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Web安全基础与实践 dcnb dcnb《Apifox安装及基本用法》