文章总结： 该文档介绍了BurpSuite插件JaySenWxapkg，专为微信小程序渗透测试设计。核心功能包括wxapkg包自动解密与批量解包、API接口提取及敏感数据检测，支持自定义正则规则和可视化面板。该工具能高效分析小程序缓存，帮助安全人员识别隐藏接口与敏感信息泄露，提升测试效率。 综合评分： 78 文章分类： 安全工具,渗透测试,WEB安全

好用到爆了Burp的微信小程序渗透测试利器

Enginge Enginge

Enginge

2026年2月6日 22:25 广东

人类本性中最深层的渴望是被人欣赏的感觉。——

JaySenWxapkg一键自动解密+批量解包+API接口提取+敏感数据泄露检测，Burp可视化操作。

📋 功能清单

| 功能模块 | 核心能力 | | — | — | | 🔓 wxapkg解密 | 自动识别加密包，AES-CBC+XOR解密，兼容PC微信小程序缓存包 | | 📦 批量解包 | 递归扫描目录，多线程解包主包/分包，自动清理缓存 | | 🚪 API提取 | 自定义正则规则，过滤前端路径（pages/components等），一键复制所有接口 | | 🔍 敏感检测 | 内置手机号、身份证、AppID、密钥等规则，支持自定义敏感类型正则 | | ⚙️ 灵活配置 | 接口前缀/后缀黑名单、API正则、敏感信息正则，修改自动保存 | | 📊 可视化面板 | 小程序信息、API结果、敏感数据分栏展示，清晰直观 | | 📱 小程序信息查询 | 自动提取AppID，查询小程序名称、主体、描述等基础信息 |

微信的小程序包生成路径，默认是

C:\Users\你的用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages\

📝 配置示例

敏感信息正则示例

手机号:1[3-9]\d{9}车牌:^[京津沪渝冀豫云辽黑湘皖鲁新苏浙赣鄂桂甘晋蒙陕吉闽贵粤青藏川宁琼使领A-Z]{1}[A-Z]{1}[A-Z0-9]{4}[A-Z0-9挂学警港澳]{1}$AppSecret 泄露:(?i)\b\w*secret\bIP地址:^(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])\.(?:25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])$微信小程序 session_key 泄露:(?i)\bsession_key\b身份证号:\b\d{17}([0-9]|X|x)\b邮箱地址:[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,4}

API提取正则示例（默认规则）

(?:"|')(((?:[a-zA-Z]{1,10}://|//)[^"'/]{1,}\.([a-zA-Z]{2,})[^"']{0,})|((?:/|\.\./|\./)[^"'><,;| *()(%%$^/\\\[\]][^"'><,;|()]{1,})|([a-zA-Z0-9_\-/]{1,}/[a-zA-Z0-9_\-/]{1,}\.(?:[a-zA-Z]{1,4}|action)(?:[\?|/][^"|']{0,}|))|([a-zA-Z0-9_\-]{1,}\.(?:php|asp|aspx|jsp|json|action|html|js|txt|xml)(?:\?[^"|']{0,}|)))(?:"|')

前缀/后缀黑名单示例

前缀黑名单：/pages/,/components/,/static/,/uni_modules/,uview-ui/后缀黑名单：jpg,gif,svg,wxss,wxml,png,js,jpeg

可回复"260206"获取工具链接

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Enginge Enginge Enginge《好用到爆了Burp的微信小程序渗透测试利器》