文章总结： 作者发布了一款QQ/微信小程序攻击面分析工具，支持Windows系统。该工具具备自动路径检测、小程序识别、API调用分析、URL提取、敏感信息检测、权限审计及风险评分功能，可浏览本地数据存储。旨在辅助安全研究与合规测试，严禁用于非法用途。 综合评分： 80 文章分类： 安全工具,移动安全,应用安全,数据安全,漏洞分析

我发布了一款QQ小程序微信小程序攻击面分析工具

原创

IceCliffs IceCliffs

Gh0xE9

2026年6月12日 09:02 北京

在小说阅读器读本章

去阅读

实际上还有几款小工具没放出来，看市面上基本上都有了，别人发什么我就拆解一下往自己的工具里塞什么

感谢开源🙇‍

但是这么一直藏着掖着用别人的东西也不太好，所以随便放了一个出来，目前只有 Windows 版本，Mac 拿去修了，懒得刷黑苹果，先这样吧

仓库地址

https://github.com/icecliffs/nextwq

具体功能

• • 自动路径检测 — 扫描注册表、进程、常见路径定位QQNT安装和数据目录
• • 小程序识别 — 解析 app-config.json 显示小程序名称、AppID、版本
• • API调用分析 — 提取所有 wx.* / qq.* API调用，按类别统计
• • URL提取 — 发现所有网络请求URL，分类为 API/CDN/文档/第三方
• • 敏感信息检测 — 检测 Token、Key、手机号、邮箱、JWT 等敏感数据
• • 权限审计 — 分析权限请求并标注安全关注点
• • 风险评分 — 综合评估小程序风险等级(0-100)
• • 数据存储浏览 — 查看 fetchData、auth、localStorage、文件系统

目前仅支持 Windows 版本，后续会逐渐适配 MacOS/Linux，等我电脑修好了（，目前功能已集成到内部工具 ErraticGopher v3.3.2 ，圈内的可以到平台拉最新款重新授权下载

不过有一说一，现阶段还是微信小程序比较多，QQ 攻击面可能就企业/个人用的多一点，不过可以先开个坑占个位置

免责声明

本工具仅用于网络安全技术研究、教学及合规的渗透测试，旨在帮助提升系统安全性。使用者在使用本工具时须严格遵守当地法律法规，严禁将本工具用于任何未经授权的非法活动或破坏性攻击，因滥用本工具所导致的任何直接或间接法律责任及后果，均由使用者本人承担，开发者对此不承担任何责任，使用本工具即视为您已理解并同意本声明。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Gh0xE9 IceCliffs IceCliffs《我发布了一款QQ小程序微信小程序攻击面分析工具》