文章总结： 文档介绍了JaySenWxapkg这款Burp插件，专为微信小程序渗透测试设计。它具备一键解密wxapkg、批量解包、自动提取API及敏感信息检测功能。通过可视化操作，用户可高效获取小程序的接口数据和潜在泄露风险，适用于安全审计场景。 综合评分： 80 文章分类： 渗透测试,安全工具,移动安全,WEB安全

微信小程序渗透测试神器！一键解密wxapkg+自动提取API+敏感信息检测

0xSecDebug 0xSecDebug

0xSecDebug

2026年2月7日 11:43 陕西

🔥 JaySenWxapkg – Burp微信小程序渗透测试利器

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

项目地址在文章底部哦

支持微信最新版，可解大部分微信小程序wxapkg包，一键自动解密+批量解包+API接口提取+敏感数据泄露检测，Burp可视化操作，配置自动保存！

📋 功能清单

| 功能模块 | 核心能力 | | — | — | | 🔓 wxapkg解密 | 自动识别加密包，AES-CBC+XOR解密，兼容PC微信小程序缓存包 | | 📦 批量解包 | 递归扫描目录，多线程解包主包/分包，自动清理缓存 | | 🚪 API提取 | 自定义正则规则，过滤前端路径（pages/components等），一键复制所有接口 | | 🔍 敏感检测 | 内置手机号、身份证、AppID、密钥等规则，支持自定义敏感类型正则 | | ⚙️ 灵活配置 | 接口前缀/后缀黑名单、API正则、敏感信息正则，修改自动保存 | | 📊 可视化面板 | 小程序信息、API结果、敏感数据分栏展示，清晰直观 | | 📱 小程序信息查询 | 自动提取AppID，查询小程序名称、主体、描述等基础信息 |

🛠️ 快速上手

找到微信的小程序包生成路径，默认是

C:\Users\你的用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages\

找不到的可以全局findsomething搜索一下packages

这里会有很多包，每一个包代表一个小程序，部分包还存在多个wxapkg文件，由于不知道哪个包是哪个小程序，先全部删除

打开需要提取信息的小程序后

在插件选择小程序的文件

自动解包文件夹下所有主包和分包，成功提取信息

并且可以配置右边的过滤机制，过滤掉匹配到的前端路径，和图片等等

成功反编译后可以点击文件浏览功能打开已编译后的文件

📖 项目地址

https://github.com/Jaysen13/jaysenwxapkg

💻 威胁情报推送群

  如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

 如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用：

    覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SOC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0xSecDebug 0xSecDebug 0xSecDebug《微信小程序渗透测试神器！一键解密wxapkg+自动提取API+敏感信息检测》