文章总结： 该文档介绍了一款名为nextwq的QQ小程序攻击面分析工具，主要功能包括自动检测QQNT安装路径、解析小程序配置、分析API调用、提取网络请求URL、检测敏感信息及权限审计等，旨在帮助红队人员快速发现安全风险。工具提供图形化界面和风险评分机制，作者强调需在虚拟机环境运行并附下载链接。 综合评分： 71 文章分类： 安全工具,红队,WEB安全,移动安全,漏洞分析

QQ小程序攻击面分析工具 — nextwq（6月11日更新）

icecliffs icecliffs

Web安全工具库

2026年6月11日 16:25 河南

在小说阅读器读本章

去阅读

===================================

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，大家都要把工具当做病毒对待，在虚拟机运行。如有侵权请联系删除。个人微信：ivu123ivu

0x01 工具介绍

自动搜索并分析 QQNT 中的小程序，并提供良好的界面显示，帮助红队人员快速扩大攻击面。目前主要功能：

自动路径检测 — 扫描注册表、进程、常见路径定位QQNT安装和数据目录小程序识别 — 解析 app-config.json 显示小程序名称、AppID、版本API调用分析 — 提取所有 wx.* / qq.* API调用，按类别统计URL提取 — 发现所有网络请求URL，分类为 API/CDN/文档/第三方敏感信息检测 — 检测 Token、Key、手机号、邮箱、JWT 等敏感数据权限审计 — 分析权限请求并标注安全关注点风险评分 — 综合评估小程序风险等级(0-100)数据存储浏览 — 查看 fetchData、auth、localStorage、文件系统

0x02 安装与使用

运行界面

网盘下载链接（一定要在虚拟机运行）：

链接：https://pan.quark.cn/s/27c02460c2a0

·今 日 推 荐·

| | | | — | — | | | |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Web安全工具库 icecliffs icecliffs《QQ小程序攻击面分析工具 — nextwq（6月11日更新）》