1. 首页首页
  2. 科技前沿科技前沿

2026年打通最后一公里!只需一句话轻松拿捏小程序

科技前沿 阅读 0

打通最后一公里!只需一句话轻松拿捏小程序文章总结 本文介绍了一款用于微信小程序安全测试的 Skill 工具 该工具结合脚本与 LLM 驱动实现接口提取 敏感信息提取 漏洞分析和加解密分析四大功能 通过案例演示了如何结合 Burp 等抓包工具动态解析加密算法 并提供了自动化解密和未授权测试的实操方案 工具能显著提升测试效率 二三十分钟即可完成全流程分析 综合评分 85 文章分类 WEB 安全 移动安全 安全工具 漏洞分析 安全开发

大家好,我是讯享网,很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



文章总结: 本文介绍了一款用于微信小程序安全测试的Skill工具,该工具结合脚本与LLM驱动实现接口提取、敏感信息提取、漏洞分析和加解密分析四大功能。通过案例演示了如何结合Burp等抓包工具动态解析加密算法,并提供了自动化解密和未授权测试的实操方案。工具能显著提升测试效率,二三十分钟即可完成全流程分析。 综合评分: 85 文章分类: WEB安全,移动安全,安全工具,漏洞分析,安全开发

cover_image

原创

Windsss Windsss

听风安全

2026年4月6日 23:40 北京

本篇文章主要来介绍一下最近写的一个分析微信小程序的Skill,平时在对小程序测试的过程中难免会遇到数据包加密的情况,尤其是金融行业这些小程序,此时我们就需要强开debug断点调试或者反编译小程序去进行分析,虽然现在有了AI可以辅助我们进行分析但是相对来说还是比较繁琐的,需要先反编译,然后打开ide或者cc…一顿操作之后才能开始分析,为了解决这个问题,这个Skill就诞生了,不过这个Skill不只是可以做加解密的分析,还能做接口提取、敏感信息提取、漏洞分析、加解密分析,这四个主要功能,基本覆盖了日常的测试需求。

先来介绍一下这个Skill的设计思路,刚开始是打算采用纯LLM的方式驱动,因为小程序的分析跟Java或者其他语言的代码审计不太一样,小程序的代码量相对来说是比较少的,但是改了几个版本之后去跑测试发现效果不太好,主要是如果全使用LLM驱动会非常考验模型的能力,如果使用弱模型跑Skill就会有很大的偏差,导致生成的报告效果非常不好。所以最终决定使用脚本+LLM驱动,先让脚本去提取接口、提取敏感信息,然后生成相对应的文件让AI去进行分析,这样既保证了效率又可以让AI通过上下文分析保证准确性。不过漏洞分析和加解密分析依旧全部使用的是LLM驱动,这两个可以让AI尽情发挥,测试效果发现还不错。这个Skill本身没有什么太大的含金量,不过至少可以让我们在测试过程中节省大量的时间去挖洞。

再来说一下怎么使用效果更好,通过一个案例来介绍一下。

我是比较建议结合burp或者yakit这些抓包工具的mcp来使用的,因为有部分小程序是动态密钥,可能会先向服务端发起请求拿到生成的密钥再去进行加密,这个时候如果是纯静态分析代码或者是直接把单个数据包给AI效果会差一点。

建议使用的提示词:

/wxmini-security-audit 分析这个小程序”要分析的小程序目录”,结合burp mcp的数据包重点分析/api/co/V/*Info这个接口的请求包和返回包加密方式,尝试解密请求包,严格按照skill流程执行

首先会解析用户的需求

如果是没有反编译的包会进行反编译,相反如果给的是已经反编译之后的则直接进行分析跳过这一步(这里要说的是在GitHub项目上没有打包unveilr文件,使用之前需要手动把unveilr放到tools目录下即可)

在反编译之后通过脚本提取接口和敏感信息

然后会启动4个agent,各司其职做自己该做的事情

4个agent执行完成之后会输出对应的文档

如果用户有自定义需求,那么就会进入到这一步,也就是我们刚开始指定要分析的那个接口,这里是调用burp mcp,结合其他数据包成功分析出来了加密算法包括key和iv值

最后就是生成报告

我们先来手动验证一下跑出来的key和iv是否能成功解密数据包

请求包和返回包都是加密的

这里要特殊说明的是这个小程序采用的就是向服务端请求获取key和iv值,但是这个key和iv值也是经过加密的,需要本地做解密然后再用这个值去对数据包进行加密,这里AI都分析出来了

通过AI分析出来的密钥成功解密请求包和返回包

接下来实现自动化加解密就很简单了,不熟悉的师傅可以翻之前的文章

或者如果感觉手动解密还是麻烦,还可以一句话让AI搞定

加密算法分析完了,再来看看提取的接口效果怎么样

效果也是嘎嘎的,这个小程序也是之前测试过的,甚至还发现了之前没有发现的接口

这里使用的环境是Claude code + 智谱的glm5,也使用过其他模型效果非常一般(建议使用能力强点的模型)

上面的这个流程跑完大概只需要二三十分钟,相比之前的操作,节省了不少时间

假如说逆了加解密后做了测试,又跑了接口等等,还是没有发现有价值的漏洞,就可以尝试使用下面这款小程序去测一测

这个是前几天花了两个小时搓出来的一个小程序,简单介绍一下这个小程序是做什么的:这是一个通过AppID跳转指定页面的小程序,可以直接复制app.json文件内容自动解析或者直接上传app.json文件自动解析,并批量生成跳转按钮,可以更方便的测试未授权等

小程序唯一入口:

效果长这样

GitHub地址:

https://github.com/sssmmmwww/wxmini-security-audit

如果感觉有用的师傅可以给个star,您的支持就是最大的动力!

关于Skill或者小程序有什么问题或者建议都可以在后台留言!

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:听风安全 Windsss

 Windsss《打通最后一公里!只需一句话轻松拿捏小程序》

小讯
上一篇 2026-04-11 08:40
下一篇 2026-04-11 08:38

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/254614.html