震惊安全圈!这款微信小程序审计神器让所有敏感信息无处遁形

admin
admin
admin
0
文章
0
评论
2026-04-25 04:58:48 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: MPScan是一款专为微信小程序安全审计设计的WindowsGUI工具,通过实时监控微信小程序包目录、AES+PBKDF2解密算法和正则特征引擎,自动化检测微信生态及云服务密钥等敏感信息泄露风险。工具支持多线程解包、交互式代码审查和CSV报告导出,适用于授权安全测试场景。 综合评分: 82 文章分类: 安全工具,代码审计,WEB安全,移动安全,安全开发

cover_image

震惊安全圈!这款微信小程序审计神器让所有敏感信息无处遁形

棉花糖糖糖 棉花糖糖糖

棉花糖网络安全工具箱

2026年4月23日 11:11 四川

在小说阅读器读本章

去阅读

免责声明:本工具仅供安全研究与授权测试使用。未经授权的扫描行为违反法律规定。使用者需自行承担一切法律风险。

重点导读核心能力

MPScan 是一款专为微信小程序安全审计设计的 Windows GUI 工具,基于对 wxapkg 反编译引擎的深度二次开发,实现从包提取到风险可视化的全流程自动化。

核心技术架构:

  • AES + PBKDF2 解密算法:针对微信小程序包的加密方案进行专项破解
  • 文件系统监控(fsnotify):实时监听微信小程序包目录,检测到新文件立即触发处理流程
  • 正则特征引擎:内置 20 余类敏感信息匹配规则,覆盖微信生态、腾讯云、阿里云、AWS 等主流服务平台
  • 多线程并发解包:支持 10/20/30/50 线程配置,加速大规模包处理

重点导读工作流程

PART 01自动化监控

工具默认监控 Documents/WeChat Files/Applet 目录。当微信客户端产生新的 .wxapkg 文件时,fsnotify 立即捕获创建事件,触发解密、解包、扫描三阶段处理。

PART 02反编译引擎

decryptFile 函数实现 AES-128-CBC 解密:通过 PBKDF2 从小程序 ID 派生密钥盐值与初始向量,配合 XOR 字节运算还原明文数据。

unpack 函数负责解包:解析二进制包头中的文件索引表,提取各文件名称、偏移量、大小信息,映射到文件系统目录结构。JSON/HTML/JS 文件自动调用美化函数格式化输出。

PART 03敏感信息扫描

ScanDecompiledDir 函数遍历反编译产物中的 .js.json.ts.wxs 文件(跳过超过 2MB 的大文件),逐行匹配敏感信息正则规则。

匹配到的信息按风险等级分类:高危(微信 AppSecret、支付密钥、各云服务 AccessKey)、中危(商户号、Redis 连接串、API Token)、低危(COS 桶地址、内网 IP)。

重点导读功能特性

PART 04实时监控与批量扫描双模式

监控模式下,工具持续监听目录变化,新包自动入队处理;手动扫描模式支持一次性选择目标目录批量执行。

PART 05交互式代码审查

点击扫描结果条目,中央面板显示命中代码行的前后各 20 行上下文,并用 标记目标行位置。辅助分析人员快速研判风险场景与误报排除。

PART 06右键操作菜单

结果表格支持上下文菜单:复制内容、用记事本打开源文件、在资源管理器中定位文件。

PART 07CSV 报告导出

导出功能生成 UTF-8-BOM 编码的 CSV 文件,兼容 Microsoft Excel 中文显示。报告字段包括小程序名称、wxid、风险等级、分类、键名、值、来源文件、行号。

重点导读敏感信息覆盖

| 类别 | 检测范围 | | — | — | | 微信生态 | AppSecret、支付密钥(mch_key)、商户号(mch_id) | | 腾讯云 | SecretId、SecretKey、COS 桶配置、短信服务密钥 | | 阿里云 | AccessKeyId、AccessKeySecret、OSS 端点 | | AWS | AccessKeyId、SecretAccessKey | | 其他云服务 | 七牛云 AK/SK、华为云 AK/SK | | 数据库 | MongoDB 连接 URL、MySQL 连接串、Redis 连接地址 | | 通用密钥 | API Key、Token、Password、私钥路径 | | 网络信息 | 内网 IP 地址段(10.x、172.16-31.x、192.168.x) |

重点导读技术栈

  • 编程语言:Go 1.19
  • GUI 框架:walk(原生 Windows 界面库)
  • 命令行:cobra
  • 文件监控:fsnotify
  • 代码美化:jsbeautifier-go、gohtml

纯原生 Windows 可执行文件,无需安装 Python、Node.js 等外部运行时依赖。

重点导读界面预览

主界面

扫描结果

本公众号非项目作者,仅做技术分享。

本文介绍的项目开源地址如下:

https://github.com/xjzhi/MPScan

广告时间

低价考证包括但不限于CISP系列、PMP等等国内网安证书、网络安全交流群请关注公众号后点菜单栏的找棉花糖。

☟上下滑动查看更多

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:棉花糖网络安全工具箱 棉花糖糖糖 棉花糖糖糖《震惊安全圈!这款微信小程序审计神器让所有敏感信息无处遁形》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0