2026-01-08 02:05:30 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： JaySenWxapkg是BurpSuite插件，用于微信小程序渗透测试。支持自动解密wxapkg包及批量解包，具备API提取和敏感数据泄露检测功能。提供可视化面板与自定义正则规则，可过滤前端路径与黑名单，有效辅助安全人员提取关键信息并发现潜在风险。 综合评分： 85 文章分类： 安全工具,移动安全,渗透测试,数据泄露,应用安全

cover_image

JaySenWxapkg – Burp微信小程序渗透测试利器

dmd5安全

2026年1月7日 09:32 江西

支持微信最新版，可解大部分微信小程序wxapkg包，一键自动解密+批量解包+API接口提取+敏感数据泄露检测，Burp可视化操作，配置自动保存！

功能清单

快速上手

找到微信的小程序包生成路径，默认是

C:\Users\你的用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages\

找不到的可以全局findsomething搜索一下packages

这里会有很多包，每一个包代表一个小程序，部分包还存在多个wxapkg文件，由于不知道哪个包是哪个小程序，先全部删除

打开需要提取信息的小程序后

在插件选择小程序的文件

自动解包文件夹下所有主包和分包，成功提取信息

并且可以配置右边的过滤机制，过滤掉匹配到的前端路径，和图片等等

配置示例

敏感信息正则示例

手机号:1[3-9]\d{9}车牌:^[京津沪渝冀豫云辽黑湘皖鲁新苏浙赣鄂桂甘晋蒙陕吉闽贵粤青藏川宁琼使领A-Z]{1}[A-Z]{1}[A-Z0-9]{4}[A-Z0-9挂学警港澳]{1}$AppSecret&nbsp;泄露:(?i)\b\w*secret\bIP地址:^(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])$微信小程序 session_key 泄露:(?i)\bsession_key\b身份证号:\b\d{17}([0-9]|X|x)\b邮箱地址:[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4}

API提取正则示例（默认规则）

(?:"|')(((?:[a-zA-Z]{1,10}://|//)[^"'/]{1,}\.([a-zA-Z]{2,})[^"']{0,})|((?:/|\.\./|\./)[^"'><,;| *()(%%$^/\\\[\]][^"'><,;|()]{1,})|([a-zA-Z0-9_\-/]{1,}/[a-zA-Z0-9_\-/]{1,}\.(?:[a-zA-Z]{1,4}|action)(?:[\?|/][^"|']{0,}|))|([a-zA-Z0-9_\-]{1,}\.(?:php|asp|aspx|jsp|json|action|html|js|txt|xml)(?:\?[^"|']{0,}|)))(?:"|')

前缀/后缀黑名单示例

前缀黑名单：/pages/,/components/,/static/,/uni_modules/,uview-ui/后缀黑名单：jpg,gif,svg,wxss,wxml,png,js,jpeg

项目地址

https://github.com/Jaysen13/jaysenwxapkg?tab=readme-ov-file

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：dmd5安全 dmd5安全《JaySenWxapkg – Burp微信小程序渗透测试利器》