2026-01-08 02:10:02 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍了一款BurpSuite插件，专为微信小程序渗透测试设计。该工具支持自动解密与批量解包wxapkg文件，利用正则提取API接口并检测敏感数据泄露，涵盖手机号、密钥等信息。提供可视化面板与灵活配置，支持过滤前端路径与静态资源，有效辅助安全人员分析小程序逻辑及发现隐藏接口，提升测试效率。 综合评分： 90 文章分类： 渗透测试,安全工具,应用安全

cover_image

Burp微信小程序渗透测试利器

Jaysen13

道一安全

2026年1月7日 09:06 北京

免责声明

道一安全（本公众号）的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

工具介绍

支持微信最新版，可解大部分微信小程序wxapkg包，一键自动解密+批量解包+API接口提取+敏感数据泄露检测，Burp可视化操作，配置自动保存！

功能列表：

快速上手

找到微信的小程序包生成路径，默认是

C:\Users\你的用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages\

找不到的可以全局findsomething搜索一下packages

这里会有很多包，每一个包代表一个小程序，部分包还存在多个wxapkg文件，由于不知道哪个包是哪个小程序，先全部删除

打开需要提取信息的小程序后

在插件选择小程序的文件

自动解包文件夹下所有主包和分包，成功提取信息

并且可以配置右边的过滤机制，过滤掉匹配到的前端路径，和图片等等

配置示例

敏感信息正则：

手机号:1[3-9]\d{9}车牌:^[京津沪渝冀豫云辽黑湘皖鲁新苏浙赣鄂桂甘晋蒙陕吉闽贵粤青藏川宁琼使领A-Z]{1}[A-Z]{1}[A-Z0-9]{4}[A-Z0-9挂学警港澳]{1}$AppSecret&nbsp;泄露:(?i)\b\w*secret\bIP地址:^(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])$微信小程序 session_key 泄露:(?i)\bsession_key\b身份证号:\b\d{17}([0-9]|X|x)\b邮箱地址:[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4}

api 正则：

(?:"|')(((?:[a-zA-Z]{1,10}://|//)[^"'/]{1,}\.([a-zA-Z]{2,})[^"']{0,})|((?:/|\.\./|\./)[^"'><,;| *()(%%$^/\\\[\]][^"'><,;|()]{1,})|([a-zA-Z0-9_\-/]{1,}/[a-zA-Z0-9_\-/]{1,}\.(?:[a-zA-Z]{1,4}|action)(?:[\?|/][^"|']{0,}|))|([a-zA-Z0-9_\-]{1,}\.(?:php|asp|aspx|jsp|json|action|html|js|txt|xml)(?:\?[^"|']{0,}|)))(?:"|')

前后缀黑名单：

前缀黑名单：/pages/,/components/,/static/,/uni_modules/,uview-ui/后缀黑名单：jpg,gif,svg,wxss,wxml,png,js,jpeg

下载地址

下载地址：https://github.com/Jaysen13/jaysenwxapkg

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：道一安全 Jaysen13《Burp微信小程序渗透测试利器》