文章总结： 本文披露某大学小程序存在任意用户密码修改漏洞。作者通过社工获取手机号，利用Reqable与BurpSuite抓包，发现重置接口验证码有效期为5分钟且缺乏频率限制。随后使用AI脚本成功爆破4位验证码，实现任意用户密码重置。建议加强后端验证机制与防爆破策略。 综合评分： 82 文章分类： 渗透测试,WEB安全,漏洞分析,实战经验

某大学小程序任意用户密码修改漏洞

原创

zkaq-baqq

掌控安全EDU

2026年1月10日 00:01 江西

一、前言

在数字化时代，小程序已成为高校提供服务的重要载体，其账户安全直接关系到用户的个人信息与权益。本次测试聚焦某大学小程序的密码重置功能，通过抓包分析与技术验证，探究该功能在验证码校验环节的安全防护情况。

二、正文

在某一个下午，偷偷打开了某大学的小程序

点击忘记密码

在某音上搜到某学生的姓名和手机号，开始抓包

本文章采用双抓包工具的方式抓包小程序,Reqable+Burp Suite

首先，配置一下微信代理

IP 要与 Reqable 一致，此时 Reqable 可以抓到小程序的包，但如果需要一些复杂的改包操作，还需要使用 BP，所以需要配置 Reqable 二级代理

HTTP 代理服务器地址填写 BP 监听的·端口和 IP

然后就可以使用 Reqable 抓包，BP 也可以同时选择改包，功能还是非常好用滴，话不多说，开始搞

抓登录包，开始分析参数信息。一般去改验证码看看是否可以绕过，还有响应包的参数，看看能不能绕过校验。

抓取到关键的重置密码响应包，路径如下：

https://xxx.edu.cn/wx/app-api/api/sms/aliyunSms/resetPasswordByCode/手机号/验证码

手机号就是幸运同学的手机号，验证码经过我的测试，发现有效期是 5 分钟。

然后我多次测试发包假的验证码，服务器那边都没有禁用响应包，那么我们就可以采取爆破的操作。运气好的话，不是 6 位验证码，5 分钟内都可以爆破完的。

先从 4 位验证码开始爆破，30 秒内就爆破成功了

是非常幸运的哦，直接就可以拿到了，可以看到通过 AI 写的验证码爆破脚本还是非常快的。

然后就可以重置幸运学生的密码啦，实现任意用户密码重置！！

其实这类漏洞还是挺多的，很多大学即使有图像验证码，但是校验逻辑都在前端，改包就不需要验证码，也可以尝试爆破

三、总结

本次测试以某大学小程序密码重置功能为对象，采用 Reqable 与 Burp Suite 双工具协同抓包的方式，完成了从代理配置、数据包抓取到验证码爆破的全流程验证。通过前期获取的学生手机号，结合工具配置实现了小程序数据包的抓取与改包操作，发现该功能的验证码存在有效期 5 分钟、无爆破防护限制的安全隐患。最终借助 AI 编写的爆破脚本，成功爆破 4 位验证码，验证了该密码重置功能在校验机制上的漏洞。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq-baqq《某大学小程序任意用户密码修改漏洞》