文章总结： 本文介绍一款适配Burp的微信小程序渗透测试工具，具备wxapkg自动解密、批量解包、API提取及敏感数据检测功能。工具通过多线程处理与可视化面板提升测试效率，文中详细阐述了操作流程及正则配置，建议安全人员将其融入日常流程以挖掘小程序潜在风险。 综合评分： 85 文章分类： 移动安全,渗透测试,安全工具

实战利器：Burp微信小程序解包插件

原创

m3x1

梦醒安全

2026年1月14日 08:00 湖北

免责声明：本公众号内容仅用于知识分享和学习，由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号梦醒安全及作者不为此承担任何责任，一旦造成后果请自行承担！

PART.01

前言

在移动应用安全渗透测试领域，微信小程序因轻量化、高普及率的特性，成为安全检测的重要目标。但小程序的wxapkg包加密、接口分散、敏感信息隐蔽等问题，往往让测试工作效率低下。今天给大家分享一款适配Burp的微信小程序渗透测试工具，一站式解决wxapkg解包、API提取、敏感数据检测等核心需求，大幅提升小程序安全测试效率。

PART.02

介绍

一、工具核心能力

这款工具针对微信小程序渗透测试的痛点做了全方位优化，核心功能覆盖测试全流程：

| 功能模块 | 核心能力 | | — | — | | 🔓 wxapkg解密 | 自动识别加密包，采用AES-CBC+XOR解密方案，兼容PC微信小程序缓存包 | | 📦 批量解包 | 递归扫描目录，多线程处理主包/分包，自动清理缓存文件 | | 🚪 API提取 | 支持自定义正则规则，过滤前端无关路径（pages/components等），一键复制接口 | | 🔍 敏感检测 | 内置手机号、身份证、AppID、密钥等检测规则，支持自定义敏感类型正则 | | ⚙️ 灵活配置 | 可设置接口前缀/后缀黑名单、API正则、敏感信息正则，修改后自动保存配置 | | 📊 可视化面板 | 分栏展示小程序基础信息、API提取结果、敏感数据检测结果，直观清晰 | | 📱 小程序信息查询 | 自动提取AppID，查询小程序名称、主体、描述等基础信息 |

二、快速上手操作步骤

1. 定位微信小程序包存储路径

PC端微信小程序包默认存储路径为：

C:\Users\你的用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages\

若未找到，可全局搜索“packages”文件夹。

2. 清理历史缓存包

该目录下会存储多个小程序的wxapkg包，为精准提取目标小程序信息，先删除所有历史包文件。

3. 加载目标小程序包

打开微信，启动需要检测的目标小程序，此时微信会重新生成该小程序的wxapkg包文件。

4. Burp插件提取分析

在Burp中打开该工具插件，选择小程序包所在文件夹，工具会自动批量解包所有主包/分包，提取API接口并检测敏感数据。

三、实用配置示例

1. 敏感信息检测正则

可直接复用以下规则，也可自定义扩展：

手机号:1[3-9]\d{9}
车牌:^[京津沪渝冀豫云辽黑湘皖鲁新苏浙赣鄂桂甘晋蒙陕吉闽贵粤青藏川宁琼使领A-Z]{1}[A-Z]{1}[A-Z0-9]{4}[A-Z0-9挂学警港澳]{1}$
AppSecret 泄露:(?i)\b\w*secret\b
IP地址:^(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])$
微信小程序 session_key 泄露:(?i)\bsession_key\b
身份证号:\b\d{17}([0-9]|X|x)\b
邮箱地址:[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4}

2. API提取正则

(?:"|')(((?:[a-zA-Z]{1,10}://|//)[^"'/]{1,}\.([a-zA-Z]{2,})[^"']{0,})|((?:/|\.\./|\./)[^"'><,;| *()(%%$^/\\\[\]][^"'><,;|()]{1,})|([a-zA-Z0-9_\-/]{1,}/[a-zA-Z0-9_\-/]{1,}\.(?:[a-zA-Z]{1,4}|action)(?:[\?|/][^"|']{0,}|))|([a-zA-Z0-9_\-]{1,}\.(?:php|asp|aspx|jsp|json|action|html|js|txt|xml)(?:\?[^"|']{0,}|)))(?:"|')

3. 前后缀黑名单（过滤前端无关路径/文件）

• 前缀黑名单：/pages/,/components/,/static/,/uni_modules/,uview-ui/
• 后缀黑名单：jpg,gif,svg,wxss,wxml,png,js,jpeg

四、使用注意事项

1. 该工具仅用于合法合规的渗透测试场景，禁止用于未授权的攻击行为；
2. 不同版本微信的小程序包路径可能略有差异，若路径不符可自行排查；
3. 针对部分特殊加密的wxapkg包，解密成功率可能受加密方式影响，可结合其他工具辅助分析。

这款工具将微信小程序渗透测试的核心环节进行了自动化、可视化封装，能有效降低测试门槛，提升工作效率。无论是安全测试工程师还是渗透测试爱好者，都可以尝试将其融入日常测试流程中，挖掘小程序潜在的安全风险。

PART.03

交流群

欢迎大家加入我的交流群：

如果链接过期，可以在公众号后台点击下方菜单“加群”添加我wx，备注“加群”

PART.04

往期推荐

往期好文

高危预警！Apache Tika曝XXE漏洞(CVE-2025-66516)，可窃取服务器文件

Java漏洞实战平台上线！覆盖30+安全场景

【效率翻倍】14款渗透必备插件，这款Firefox定制版帮你一键集齐

【AI靶场练习】Gandalf靶场过关wp解析

【AI靶场练习】Prompt Injection lab靶场wp解析

深挖HTTP请求走私漏洞：原理、利用与防御

自开CVE-2025-55182 漏洞检测与利用工具（GUI版）使用指南

PART.05

项目获取

工具开源地址：https://github.com/Jaysen13/jaysenwxapkg

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：梦醒安全 m3x1《实战利器：Burp微信小程序解包插件》