文章总结： 本文介绍Burp插件JaySenWxapkg，专为微信小程序渗透测试设计。该工具支持自动解密与批量解包wxapkg文件，集成API接口提取、敏感数据泄露检测及文件浏览功能，支持自定义正则过滤。文章详述了配置使用方法及正则示例，旨在辅助安全人员高效审计小程序代码与数据安全。 综合评分： 85 文章分类： 渗透测试,安全工具,移动安全,代码审计

Burp微信小程序渗透测试利器 — JaySenWxapkg

众亦信安

2026年2月4日 12:09 湖南

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！

温馨提示：当前公众号推送机制调整，仅常读及星标账号可展示大图推送。建议各位将众亦信安团队设为“星标“，以便及时接收我们的最新内容与技术分享。

JaySenWxapkg

支持微信最新版，可解大部分微信小程序wxapkg包，一键自动解密+批量解包+API接口提取+敏感数据泄露检测，Burp可视化操作，配置自动保存！

免责声明：本项目仅用于授权范围内的安全测试与学习研究。请遵守当地法律与目标系统的授权政策，作者不对任何滥用行为负责。

GitHub：Jaysen13

项目地址：https://github.com/Jaysen13/jaysenwxapkg

开发者：微信公众号 凌霜安全志

📋 功能清单

📋 快速上手

找到微信的小程序包生成路径，默认是

C:\Users\你的用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages\

找不到的可以全局findsomething搜索一下packages

这里会有很多包，每一个包代表一个小程序，部分包还存在多个wxapkg文件，由于不知道哪个包是哪个小程序，先全部删除

打开需要提取信息的小程序后

在插件选择小程序的文件

自动解包文件夹下所有主包和分包，成功提取信息

并且可以配置右边的过滤机制，过滤掉匹配到的前端路径，和图片等等

成功反编译后可以点击文件浏览功能打开已编译后的文件

#

#

📋 功能清单

#

敏感信息正则示例

手机号:1[3-9]\d{9}车牌:^[京津沪渝冀豫云辽黑湘皖鲁新苏浙赣鄂桂甘晋蒙陕吉闽贵粤青藏川宁琼使领A-Z]{1}[A-Z]{1}[A-Z0-9]{4}[A-Z0-9挂学警港澳]{1}$AppSecret 泄露:(?i)\b\w*secret\bIP地址:^(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])$微信小程序 session_key 泄露:(?i)\bsession_key\b身份证号:\b\d{17}([0-9]|X|x)\b邮箱地址:[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4}

API提取正则示例（默认规则）

(?:"|')(((?:[a-zA-Z]{1,10}://|//)[^"'/]{1,}\.([a-zA-Z]{2,})[^"']{0,})|((?:/|\.\./|\./)[^"'><,;| *()(%%$^/\\\[\]][^"'><,;|()]{1,})|([a-zA-Z0-9_\-/]{1,}/[a-zA-Z0-9_\-/]{1,}\.(?:[a-zA-Z]{1,4}|action)(?:[\?|/][^"|']{0,}|))|([a-zA-Z0-9_\-]{1,}\.(?:php|asp|aspx|jsp|json|action|html|js|txt|xml)(?:\?[^"|']{0,}|)))(?:"|')

前缀/后缀黑名单示例

前缀黑名单：/pages/,/components/,/static/,/uni_modules/,uview-ui/

后缀黑名单：jpg,gif,svg,wxss,wxml,png,js,jpeg

tips：

圈子专注于渗透测试、漏洞挖掘、免杀对抗、逆向分析四大核心方向，同时提供各类实战工具、0day 情报与长期更新的技术资源。目前已更新包括 suo5 二开（含流量修改及客户端工具）、哥斯拉特战版二开（持续维护）、以及 0day 披露等内容。

未来还将陆续上线自研 webshell 管理工具、CS 远控定制版本、内网漏洞批量检测工具（fscan 二开 web 界面）、src 与 edu 高赏金积分报告（脱敏）、以及历年 hw 实战案例复盘等深度内容，致力于打造一个真正能提升技术、辅助实战的高质量交流圈。

目前定价 129 / 年，前 30 名入圈师傅可享 85 折优惠，欢迎各位热爱技术的师傅加入，一起交流、一起进步。

盒子

携程

小红书总榜第二第三

攻防

往这里看

点点关注不迷路，不定时持续分享各种干货。可关注公众号回复”进群”，也可添加管理微信拉你入群。

项目交流，src/众测挖掘，重大节日保障，攻防均可联系海哥微信。

入了小圈的朋友联系海哥进内部交流群。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：众亦信安 《Burp微信小程序渗透测试利器 — JaySenWxapkg》