Unexciting-juggler843/wxmini-security-audit

# 🔍 wxmini-security-audit - 快速审计微信小程序 [](https://github.com/Unexciting-juggler843/wxmini-security-audit/releases) ## 🧭 此工具的功能 wxmini-security-audit 可帮助您检查微信小程序中常见的安全风险。它会检查敏感数据、API 调用、加密使用情况以及代码中的薄弱环节。它结合使用了脚本和 AI agent，因此能够以广泛的覆盖范围和稳定的准确性对项目进行扫描。 此工具专为想要获取清晰安全报告而不需要手动阅读代码的终端用户构建。它运行完整的审计，并将发现的问题归类到主要风险区域： - 敏感信息泄露 - API 接口问题 - 加密检查 - 漏洞分析 ## 📥 下载和安装 使用此页面下载最新的 Windows 版本： [访问发布页面下载 wxmini-security-audit](https://github.com/Unexciting-juggler843/wxmini-security-audit/releases) 下载文件后： 1. 打开下载的安装包。 2. 如果 Windows 请求权限，请选择允许。 3. 如果应用程序位于一个文件夹中，请将文件放在一起。 4. 双击主应用程序文件启动程序。 如果在发布页面上看到多个文件，请选择与应用程序名称匹配或以 `.exe` 或 `.zip` 结尾的 Windows 文件。 ## 🖥️ 系统要求 您需要一台具备以下配置的 Windows PC： - Windows 10 或 Windows 11 - 至少 4 GB 内存 - 足够的可用磁盘空间，用于存放项目文件和扫描结果 - 稳定的互联网连接，用于基于 AI 的分析 - 一个待检查的微信小程序项目文件夹 为了获得更好的效果，建议使用： - 8 GB 或更多内存 - 较新的 CPU - 可以存放在本地驱动器上的项目 ## 🚀 快速入门 1. 从上面的链接下载最新版本。 2. 如果下载的是 `.zip` 文件，请先解压。 3. 在文件资源管理器中打开该文件夹。 4. 启动适用于 Windows 的应用程序文件。 5. 等待主屏幕加载完成。 6. 添加您要审计的微信小程序文件夹。 7. 开始扫描。 扫描运行时，工具会分层检查项目： - 脚本扫描文件以查找已知模式 - AI agent 审查结果并检查风险区域 - 报告将两次检查的结果合并到一个视图中 ## 📁 扫描检查的内容 ### 🔐 敏感信息 该工具会查找： - API 密钥 - Token - 密码 - 机密配置值 - 硬编码的标识符 ### 🌐 API 接口检查 该工具会审查： - 网络请求调用 - 后端 Endpoint - 请求参数处理 - 与身份验证相关的路径 - 薄弱的访问模式 ### 🧪 加密分析 该工具会检查： - 本地加密逻辑的使用 - 薄弱或自定义的加密流程 - 缺少对传输中数据的保护 - 不安全的密钥处理 ### ⚠️ 漏洞分析 该工具还会查找： - 私密数据的不安全存储 - 薄弱的验证模式 - 有风险的文件处理 - 可能导致数据泄露的可疑逻辑 - 可能引发安全风险的代码路径 ## 🛠️ 如何使用 1. 打开 wxmini-security-audit。 2. 选择小程序的项目文件夹。 3. 如果应用程序提供多种扫描模式，请选择一种。 4. 开始审计。 5. 等待进度条或任务列表完成。 6. 打开报告并查看结果。 如果应用程序要求提供路径，请选择小程序的根文件夹，而不是单个文件。根文件夹通常包含 `app.js`、`project.config.json` 等文件以及页面文件夹。 ## 📊 阅读报告 报告按风险区域对问题进行分组，因此很容易逐一审查各个部分。 请关注： - 问题标题 - 文件名 - 行号 - 风险等级 - 建议的修复方案 按以下顺序使用报告： 1. 首先修复敏感数据泄露 2. 其次检查 API 问题 3. 然后审查加密问题 4. 最后处理较低风险的项目 如果工具将某个发现标记为高风险，请优先检查。这些项目通常涉及数据暴露或薄弱的安全控制。 ## 🧹 获得最佳结果 为了获得干净的扫描： - 在开始之前关闭其他占用资源大的应用程序 - 一次只扫描一个项目 - 使用完整的项目文件夹 - 保持文件名和文件夹名称完整无缺 - 让扫描完成后再打开报告 如果您的项目很大，首次扫描可能会花费更长的时间。这是正常现象。 ## 🔄 典型工作流 一个简单的日常工作流如下所示： 1. 下载最新版本 2. 在 Windows 上打开应用程序 3. 加载您的小程序项目 4. 运行审计 5. 查看报告 6. 修复代码中的问题 7. 再次扫描以确认更改 这使得随着时间的推移跟踪安全工作变得更加容易。 ## 📌 工具可能检查的常见文件类型 审计可能会读取： - JavaScript 文件 - JSON 配置文件 - WXML 文件 - WXSS 文件 - 环境文件 - 本地辅助脚本 它还可能检查项目配置文件以及任何涉及请求、存储或加密逻辑的代码。 ## 🔎 示例用例 在以下情况下，请使用 wxmini-security-audit： - 在发布前检查新的小程序 - 审查团队成员的代码 - 查找暴露的 Token 或机密信息 - 检查 API 调用是否存在薄弱的安全性 - 审查应用程序中的加密使用情况 - 在修复后重新扫描 ## 🧩 如果扫描未启动 请尝试以下步骤： 1. 确保您下载了完整的发布包 2. 检查 Windows 是否未阻止该文件 3. 将应用程序移动到简单的文件夹路径中，例如 `C:\Tools\wxmini-security-audit` 4. 确保小程序项目文件夹完整 5. 关闭其他应用程序后重试 如果项目文件夹缺少关键文件，扫描可能无法提供完整的结果。请使用顶层项目文件夹而不是子文件夹。 ## 📍 发布页面 [打开 Windows 下载页面](https://github.com/Unexciting-juggler843/wxmini-security-audit/releases) ## 🗂️ 建议的文件夹设置 您可以按以下布局保存文件： - `C:\Tools\wxmini-security-audit` - `C:\Projects\MyMiniProgram` - `C:\Reports\wxmini-security-audit` 这使得应用程序、项目和报告易于查找。 ## 🧠 关于扫描引擎 wxmini-security-audit 采用双层设计： - 脚本检查涵盖整个项目中的常见模式 - LLM 审查有助于判断上下文并减少误报 它还使用专注于不同风险区域的多个 Agent。这使得扫描比单次检查更加结构化，并且更易于审查。 ## 📦 开始前的准备工作 请准备好以下内容： - 从上述链接下载的 Windows 版本 - 一个小程序项目文件夹 - 足够用于存放扫描输出的磁盘空间 - 用于首次审计的几分钟时间 - 读取项目文件的权限 ## 🛡️ 这有助于您避免的问题 此工具可以帮助您发现以下问题： - 代码中遗留的机密信息 - 不安全的请求逻辑 - 薄弱的数据处理 - 不良的加密使用 - 发布前的安全漏洞

标签：AI分析, API安全, C2, IP 地址批量处理, JSON输出, Windows工具, 云资产清单, 加密检查, 多智能体, 安全合规, 安全报告, 实时处理, 微信小程序, 接口提取, 数据可视化, 漏洞分析, 白盒测试, 网络代理, 网络安全, 路径探测, 逆向工具, 逆向工程, 隐私保护, 静态代码扫描