文章总结： MPScan是一款专用于微信小程序安全审计的WindowsGUI工具，实现从自动提取、反编译到敏感信息识别与风险可视化的完整工作流。工具支持实时监控wxapkg文件、批量扫描、智能识别20余类敏感信息（如云服务密钥、数据库连接串等），并提供交互式代码审查面板与一键导出CSV报告功能，适用于安全研究人员与开发者进行自动化审计。 综合评分： 78 文章分类： 安全工具,代码审计,移动安全,应用安全,安全运营

MPScan工具：微信小程序安全审计

xjzhi xjzhi

不秃头的安全

2026年4月14日 17:36 北京

在小说阅读器读本章

去阅读

MPScan工具：微信小程序安全审计

前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请私聊删除。
知识星球和交流群在最下方。
需要cn*d（中高）/c2n*d（高与支撑单位）/安全证书请联系vx咨询

MPScan 是一款为安全研究人员与开发者设计的 Windows GUI 一体化工具，专用于对微信小程序进行自动化安全审计。基于对 wxapkg 反编译工具的深度二次开发与功能拓展，本工具实现了从 自动提取 → 反编译 → 敏感信息识别 → 风险可视化 → 报告输出 的完整工作流。

✨ 工具亮点

🚀 一键自动化 – 无需复杂配置，启动即用，覆盖监控、解包、扫描、分析完整流程。
🔍 深度内容识别 – 自动提取超过 20 类敏感信息，包括各类云服务密钥、数据库连接串、API Token、内网地址等。
🎨 直观风险呈现 – 采用高/中/低危三级色彩标记，结果清晰可读，支持点击查看上下文代码。
📦 开箱即用 – 纯原生 Windows 应用，无需安装 Python、Node.js 等任何外部依赖。
💼 便捷的操作流 – 提供右键快速菜单（复制、打开、定位）、代码预览及一键报告导出，极大提升分析效率。

🛠️ 核心功能

1. 实时监控与自动反编译
自动监听微信小程序包目录（%USERPROFILE%\Documents\WeChat Files\...\wxapkg\）。
一旦有新的 .wxapkg 文件产生，立即触发自动反编译并启动安全扫描，实现“发现即审计”。
2. 批量扫描与手动分析
支持手动选择小程序包目录进行批量处理。
适用于专项安全审计、合规检查或对历史小程序的批量排查。
3. 智能敏感信息提取
内置针对微信生态与常见云服务的专用正则表达式与特征规则库。
精准识别超过 20 类高风险敏感信息。
4. 交互式代码审查面板
点击任意扫描结果条目，中央面板将实时展示该敏感信息所在的源代码位置。
默认显示命中代码行的前后各20行上下文，辅助人工研判风险场景与误报排除。
5. 便捷的右键操作菜单
在结果列表中右键点击任意条目，可快速执行以下操作：
  复制内容：复制选中的敏感信息文本。
  用记事本打开：直接打开包含该信息的源文件。
  在资源管理器中定位：快速跳转至源文件所在文件夹。
6. 一键导出报告
支持将完整扫描结果导出为 CSV 格式报告。
文件编码已兼容 Microsoft Excel，确保中文内容无乱码，便于存档、分享或进一步数据处理。

📁 覆盖的敏感信息类型

| 类别 | 识别示例 | | — | — | | 微信生态 | AppSecret、支付密钥（mch_key）、商户号（mch_id） | | 腾讯云 | SecretId、SecretKey、COS 存储桶配置、短信服务密钥 | | 阿里云 | AccessKey ID、AccessKey Secret、OSS 配置 | | AWS | AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY | | 其他云服务 | 七牛云 AK/SK、华为云 AK/SK、百度云 AK/SK | | 数据库 | MongoDB 连接 URL、MySQL 连接字符串、Redis 连接地址与密码 | | 通用密钥令牌 | API Key、JWT Token、Password、Bearer Token、私钥文件路径 | | API Key、JWT Token、Password、Bearer Token、私钥文件路径 | 内网 IP 地址（10.x，172.16.x，192.168.x）、硬编码的未授权访问端点 |

⚙️ 运行环境与使用

操作系统：Windows 10 / 11 （64位）
环境要求：无需安装任何依赖（如Python、Node.js、Java等）。下载可执行文件，解压后双击即可运行。

🚀 快速开始

解压运行：解压到任意目录，双击运行 MPScan.exe。
开始扫描：
自动监控模式：启动后，工具将自动开始监控。当微信有新小程序运行时，会自动扫描。
手动扫描模式：点击“选择目录”，手动指定包含 .wxapkg 文件的文件夹进行批量扫描。
查看与导出结果：在界面中查看分级风险结果，点击条目查看代码上下文，可通过右键菜单或“导出”按钮生成报告。

🔄 工具获取

作者：xjzhi

项目地址：公众号回复“20260414”即可获取链接

📄往期推荐：

工具分享 | FLUX-Web安全扫描工具 v5.4.2更新

CVE-2026-39363：Vite Dev Server WebSocket 任意文件读取漏洞深度剖析

Vim 高危 RCE 漏洞预警：打开文件即执行任意命令（CVE-2026-34714）

【紧急预警】Axios npm 供应链攻击事件完整分析报告——这可能是史上针对 Top 10 npm 包最复杂的攻击

Langflow RCE与技术细节CVE-2026-33017

关于我们:

感谢各位大佬们关注-不秃头的安全，后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章，同时会组织不定期抽奖，希望能得到各位的关注与支持，考证请加联系vx咨询。

1. 需要考以下各类安全证书的可以联系

①Cn*d，NCC，NVDB🀄️高漏洞证书

②CNNVD中高\漏洞情报\ 一二三级支撑单位均可协助获得

③CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCRC\CCSC、itil、软考中高级、CDSP各种类、CISA，oscp等等巨优惠。ISO27001、ITss服务项目经理报名等下证即可，证书组团报更便宜，可对公，可开专普票。以下是其他全部证书

【腾讯文档】【信息安全 数据安全 IT认证证书】～不秃头的安全Vx:Meditation0723

https://docs.qq.com/doc/DZmtOckpOakJrcFVv?#

想加群下方二维码，群过期或群满加下方vx拉：

2. 需要入星球的可以私聊优惠

1、维护更新src、cnxd、cnnxd专项漏洞知识库，包含原理、挖掘技巧、实战案例
2、fafo/零零信安 高级会员key
3、最新POC通用报告详情分享思路
4、知识星球专属微信“内部圈子交流群”
5、攻防演练资源分享（免杀、溯源、钓鱼等）
6、新鲜工具分享
7、不定期有工作招聘内推（工作/护网内推）
8、19个专栏会持续更新~提前续费有优惠，好用不贵很实惠

3、其他合作（合法合规）

1、承接红蓝攻防、渗透、安全意识培训、基线核查及加固、应急响应、重保防守、代码审计等安全项目（须授权），需要攻防团队或岗位招聘都可代发、代招（灰黑勿扰）；

2、各位安全老板需要文章推广的请私聊，承接合法合规推广文章发布，可直发、可按产品编辑推广；合作、推广代发、安全项目、岗位代招均可发布；

3、接受脱敏投稿,送一年知识星球及礼包。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：不秃头的安全 xjzhi xjzhi《MPScan工具：微信小程序安全审计》