一、NoSQL注入的背景与现状

随着业务场景对数据灵活性和扩展性的需求增长，NoSQL数据库（如MongoDB、Redis、Cassandra等）逐渐成为企业数据存储的主流选择。然而，开发者对NoSQL安全性的认知往往滞后于其应用普及速度，尤其是对注入攻击的防范意识不足。传统SQL注入通过构造恶意SQL语句篡改数据库查询，而NoSQL注入则利用NoSQL特有的查询语法（如JSON、BSON、键值对等）和动态查询特性，通过构造恶意数据绕过验证或直接执行未授权操作。

近年来，NoSQL注入攻击事件频发。例如，某电商平台因MongoDB未对用户输入的JSON查询参数进行严格过滤，导致攻击者通过{"$where":"this.password==''||1==1"}绕过密码验证，窃取数万用户数据；另一案例中，Redis未授权访问漏洞被利用，攻击者通过CONFIG SET dir /tmp和SAVE命令将恶意数据写入磁盘，实现持久化攻击。这些案例表明，NoSQL注入已成为企业数据安全的重要威胁。

二、NoSQL注入的原理与分类

1. 动态查询构造的漏洞

NoSQL数据库（如MongoDB）支持通过动态生成的查询条件执行操作。例如，用户输入可能被直接拼接为查询条件：

// 漏洞代码示例：用户输入未过滤直接拼接查询
const userInput = req.body.username;
db.collection('users').find({ username: userInput });

攻击者可构造输入{"$gt": ""}，将查询条件改为{ username: { "$gt": "" } }，绕过精确匹配，获取所有用户名大于空字符串的记录。

2. 运算符注入

NoSQL支持特殊运算符（如$where、$regex、$or等），攻击者可利用这些运算符执行恶意逻辑。例如：

// 漏洞代码：未过滤的$where运算符
const password = req.body.password;
db.collection('users').findOne({ 
  $where: `function() { return this.password === '${password}'; }` 
});

攻击者输入admin' || true--，构造的函数变为：

function() { return this.password === 'admin' || true--; }

导致条件恒为真，绕过密码验证。

3. 命令注入（针对支持脚本的NoSQL）

部分NoSQL（如MongoDB）支持JavaScript脚本执行，攻击者可注入恶意代码。例如：

// 漏洞代码：直接执行用户输入的脚本
const script = req.body.script;
db.eval(script); // 已废弃，但旧系统可能存在

攻击者输入function() { while(1){} }，可导致数据库服务崩溃（拒绝服务攻击）。

4. 批量操作注入

NoSQL的批量操作（如bulkWrite）可能被利用。例如：

// 漏洞代码：未验证的批量更新
const updates = req.body.updates;
db.collection('users').bulkWrite(updates);

攻击者构造包含{ updateOne: { filter: { role: "user" }, update: { $set: { role: "admin" } } } }的请求，可批量提权。

三、典型攻击场景与案例分析

1. 身份认证绕过

场景：登录接口使用NoSQL查询验证用户。
攻击：构造输入{"username":"admin","password":{"$ne":""}}，查询条件变为{ username: "admin", password: { "$ne": "" } }，即“密码不为空字符串”，绕过真实密码验证。
案例：2021年，某SaaS平台因MongoDB查询未过滤$ne运算符，导致攻击者通过遍历用户名和固定密码条件（如{"$gt":""}）枚举有效账号。

2. 数据泄露

场景：搜索接口动态拼接查询条件。
攻击：输入{"$or":[{},{"role":"admin"}]}，查询条件变为{ "$or": [ {}, { role: "admin" } ] }，其中{}匹配所有文档，导致泄露全部数据。
案例：2022年，某健康应用因Elasticsearch未过滤$or，攻击者通过公开API获取数百万用户健康记录。

3. 拒绝服务（DoS）

场景：NoSQL支持复杂查询或脚本。
攻击：构造{"$where":"while(1){}"}或{"$regex":"(.){\\d+}"}（正则表达式超长匹配），消耗数据库资源导致服务不可用。
案例：2020年，某物联网平台因Redis未限制KEYS *命令，攻击者通过批量请求耗尽内存，导致全球服务中断。

四、防御策略与最佳实践

1. 输入验证与过滤

• 白名单验证：限制输入为预期格式（如仅允许字母、数字、特定符号）。
• 转义特殊字符：对$、{、}等NoSQL运算符进行转义或替换。
• 使用ORM/ODM：如Mongoose（MongoDB）或Sequelize（兼容NoSQL），避免直接拼接查询。

2. 最小权限原则

• 数据库用户仅授予必要权限（如只读、特定集合操作）。
• 禁止使用root或管理员账号连接应用。

3. 参数化查询

• 使用NoSQL提供的参数化API。例如，MongoDB的$match阶段应通过变量绑定：

  // 安全代码：使用参数化查询
  const username = req.body.username;
  db.collection('users').find({ username: username }); // 若username来自白名单

4. 限制查询复杂度

• 禁用危险运算符（如$where、$function）。
• 设置查询超时和最大文档限制（如MongoDB的maxTimeMS和limit()）。

5. 安全配置与监控

• 启用NoSQL的审计日志，记录所有查询操作。
• 使用WAF（Web应用防火墙）拦截恶意NoSQL查询模式。
• 定期更新NoSQL版本，修复已知漏洞。

6. 代码审计与测试

• 静态分析工具：使用SonarQube、Checkmarx等扫描NoSQL注入风险。
• 动态测试：通过Burp Suite、OWASP ZAP构造注入请求，验证防御效果。

五、未来趋势与挑战

随着NoSQL功能的扩展（如事务支持、聚合管道），注入攻击面可能进一步扩大。例如，MongoDB 5.0+的$accumulator运算符若未过滤，可能被用于执行复杂计算导致拒绝服务。此外，Serverless架构中NoSQL的临时权限管理将成为新挑战。

六、总结

NoSQL注入攻击的本质是利用动态查询和运算符的灵活性，通过构造恶意输入绕过安全控制。开发者需从输入验证、最小权限、参数化查询等多维度构建防御体系，并结合自动化工具持续监控风险。只有将安全意识融入NoSQL应用的全生命周期，才能有效抵御日益复杂的注入威胁。