2026-04-16 05:28:10 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍了MPScan工具，这是一款专为微信小程序安全审计设计的WindowsGUI自动化工具。该工具实现了从目录检测到反编译、敏感信息识别、风险可视化和报告输出的完整工作流，可自动提取20余类敏感信息如云服务密钥、数据库连接串等。工具支持批量扫描和本地实时监控，具备开箱即用、风险分级展示和一键报告导出功能，为安全研究人员提供高效的小程序漏洞挖掘解决方案。 综合评分： 85 文章分类： 安全工具,WEB安全,移动安全,应用安全,漏洞分析

cover_image

没手都行，小程序纯自动化捡洞工具

原创

xjizhi xjizhi

GG安全

2026年4月14日 08:42 天津

在小说阅读器读本章

去阅读

现在只对常读和星标的公众号才展示大图推送，建议大家能把GG安全“设为星标”，否则可能就看不到了啦!

免责声明

本文章仅用于分享信息安全防御技术，请遵守中华人民共和国相关法律法规，禁止进行任何违法犯罪行为。作者不承担因他人滥用本文所导致的任何法律责任。

本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失，GG安全公众号和原文章作者不承担任何责任。如果出现任何后果，请使用者自行承担。如果有侵权行为，请告知我们，我们将立即删除并致以道歉。谢谢！

知识先导

GG安全

MPScan 是一款为安全研究人员与开发者设计的 Windows GUI 一体化工具，专用于对微信小程序进行自动化安全审计。基于对 wxapkg 反编译工具的深度二次开发与功能拓展，本工具实现了从目录检测 → 自动化反编译 → 敏感信息识别 → 风险可视化 → 报告输出的完整工作流。

工具介绍

下载地址

https://github.com/xjzhi/MPScan/releases/tag/MPScan

工具亮点

🚀 一键自动化：无需复杂配置，启动即用，覆盖监控、解包、扫描、分析完整流程。

🔍 深度内容识别：自动提取超过 20 类敏感信息，包括各类云服务密钥、数据库连接串、API Token、内网地址等。

🎨 直观风险呈现：采用高/中/低危三级色彩标记，结果清晰可读，支持点击查看上下文代码。

📦 开箱即用：纯原生 Windows 应用，无需安装 Python、Node.js 等任何外部依赖。

💼 便捷的操作流：提供右键快速菜单（复制、打开、定位）、代码预览及一键报告导出，极大提升分析效率。

提取的敏感信息类型

这里直接扫到aksk什么的直接就捡洞了！！！

效果演示

1、可以直接对小程序所在目录下的全部小程序进行批量反编译并提取敏感信息

已关注

关注

重播分享赞

关闭

观看更多

退出全屏

切换到竖屏全屏退出全屏

GG安全已关注

分享视频

，时长01:42

0/0

00:00/01:42

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

01:42

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清流畅

您的浏览器不支持 video 标签

继续观看

没手都行，小程序纯自动化捡洞工具

观看更多

转载

没手都行，小程序纯自动化捡洞工具

GG安全已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

2、可以直接开启本地检测，微信点击小程序即可

直接捡！！！

1►

福利放送

再次声明：本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失，GG安全公众号和原文章作者不承担任何责任。

edusrc邀请码

免费不限量提供edusrc邀请码及玄机邀请码，可在的菜单栏资源获取-edusrc邀请码中获取。

2►

往期精彩

Edusrc高校证书测评

绝版乌云重现：在VM中复活的安全宝藏

钓鱼佬永不空军！社g之学姐送我“严重”漏洞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：GG安全 xjizhi xjizhi《没手都行，小程序纯自动化捡洞工具》