文章总结： ApiHunter是一款图形化API自动化安全测试工具，支持Swagger、OpenAPI及WSDL解析。具备智能参数填充、SQL注入与文件上传检测功能，内置百余种敏感信息识别规则。提供安全模式防止误删，支持代理转发与结果导出，能有效提升渗透测试中接口安全评估的效率。 综合评分： 88 文章分类： 安全工具,渗透测试,WEB安全,应用安全

ApiHunter——图形化接口测试工具

一个人挺好 一个人挺好

一个人挺好 wa

2026年2月7日 19:45 贵州

项目地址：

https://github.com/11firefly11/ApiHunter

ApiHunter 技术文档

1. 项目概述

ApiHunter 是一款开源的 API 接口自动化安全测试工具，专为渗透测试人员和安全研究人员设计。该工具支持 Swagger/OpenAPI 文档一键解析，能够自动提取接口端点、智能填充参数并批量发送请求，大幅提升 API 安全测试效率。

GitHub 仓库: https://github.com/11firefly11/ApiHunter

2. 核心功能

2.1 文档解析引擎

表格

| 功能模块 | 支持格式 | 说明 | | — | — | — | | Swagger/OpenAPI 解析 | Swagger 2.0 / OpenAPI 3.0 | 自动解析 JSON 格式文档，提取完整接口定义 | | ASP.NET Help Page 解析 | HTML 页面 | 专门针对 .NET Web API 的文档解析引擎 | | WSDL/WADL 解析 | XML 格式 | 支持 Web Services 描述语言文档提取（v2.0+ 新增） |

2.2 智能测试引擎

• POST 智能填充与多格式测试

• URL 参数模式 (Query String)

• JSON Body 模式 (application/json)

• Form Body 模式 (x-www-form-urlencoded)

• 自动识别 id, email, phone 等参数类型并智能填充测试值

• 针对 POST/PUT 请求自动生成三种数据包格式：

• 支持自定义参数值（如 userid:100,username:test）

• 自动化漏洞检测

• 文件上传检测：智能识别包含 upload/file 关键词的接口，自动构造 multipart/form-data 请求，上传 XSS 测试文件（.html）和普通文本文件

• SQL 注入探测：内置多数据库报错指纹库（MySQL/Oracle/MSSQL/PostgreSQL），自动识别注入点

2.3 敏感信息检测

内置 100+ 条高精度检测规则，覆盖：

表格

| 检测类别 | 具体内容 | | — | — | | 云服务密钥 | AWS Access Key、阿里云 AccessKey、腾讯云 SecretKey 等 | | 访问令牌 | JWT Token、GitHub Token、API Key、Bearer Token 等 | | 数据库连接 | MySQL/PostgreSQL/MongoDB/Redis 连接字符串 | | 个人隐私信息 | 手机号、身份证号、邮箱地址、银行卡号等 | | 系统敏感信息 | 内网 IP、服务器路径、堆栈跟踪信息等 |

检测结果在响应中以红色高亮显示，便于快速定位。

2.4 智能去重与过滤

• 指纹去重引擎：基于 状态码 + 响应长度 生成指纹，有效过滤大量重复的 404/500 错误页面
• 状态码过滤：支持自定义状态码黑名单，屏蔽无价值结果
• 响应长度过滤：可设置长度阈值，过滤空响应或固定错误页面

3. 安全机制

3.1 安全模式（Safety Mode）

表格

| 模式 | 行为描述 | 适用场景 | | — | — | — | | 🔒 安全模式 | 拦截 DELETE/PUT 方法；跳过包含 delete/remove/drop 关键词的接口 | 生产环境、未授权测试 | | ⚡ 普通模式 | 执行所有方法（遵循方法黑名单）；仅跳过用户自定义黑名单接口 | 开发/测试环境、深度评估 |

3.2 防护机制

• 高危操作拦截：防止误删数据，保护生产环境
• 自定义黑名单：支持用户自定义接口关键词黑名单
• 请求频率控制：内置延迟机制，避免对目标系统造成过大压力

4. 网络与代理支持

表格

| 功能 | 说明 | | — | — | | 代理协议 | 支持 HTTP/HTTPS/SOCKS5 代理 | | 流量转发 | 可配合 Burp Suite 进行流量拦截与分析 | | 自定义请求头 | 支持设置 Cookie、Authorization、User-Agent 等 | | 鉴权绕过 | 通过自定义 Header 轻松测试带鉴权的接口 |

5. 交互式操作

5.1 数据包重发

• 双击结果行：查看标准 HTTP 格式的完整数据包
• 即时编辑：支持修改请求头、请求体
• 一键重发：编辑后立即重新发送请求
• 响应格式化：自动格式化 JSON/XML 响应，支持语法高亮

5.2 结果导出

• 支持导出为 Excel 格式
• 包含完整的请求/响应信息
• 便于生成测试报告和二次分析

6. 使用指南

6.1 环境要求

• 操作系统：Windows（提供 .exe 可执行文件）
• 运行方式：开箱即用，无需额外依赖

6.2 快速开始

1. 启动程序

• 双击 ApiHunter.exe 启动图形化界面

1. 配置目标

   方式一（单目标测试）：

   方式二（文档批量导入）：

• 切换到”接口文档”区域

• 输入 Swagger/ASP.NET/WSDL 文档地址

• 点击【导入】→【Swagger】

• 输入目标 URL 和接口路径

• 点击【测试】按钮

1. 查看结果

• 扫描结果实时显示在主界面
• 敏感信息自动红色高亮标记
• 双击行查看详情，右键支持导出/复制

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：一个人挺好 wa 一个人挺好 一个人挺好《ApiHunter——图形化接口测试工具》