36 NoSQL 注入：防御与实战指南

一、NoSQL注入攻击的本质与威胁

NoSQL注入攻击（NoSQL Injection）是针对非关系型数据库的恶意数据操纵行为，其核心原理是通过构造特殊输入破坏数据库查询逻辑。与传统SQL注入不同，NoSQL注入更依赖特定数据库的语法特性，例如MongoDB的BSON查询结构、Redis的键值对操作等。

1.1 攻击向量多样性

NoSQL注入的攻击面覆盖数据查询、聚合操作、事务处理等多个环节。以MongoDB为例，攻击者可通过$where操作符注入JavaScript代码，或利用$regex正则表达式进行模糊匹配注入。例如，以下代码片段展示了通过用户输入构造恶意查询的典型场景：

// 危险代码示例：未过滤的用户输入直接拼接查询
const userInput = req.query.username; // 攻击者可输入"{ $gt: '' }"
db.users.find({ username: userInput });

当用户输入{ $gt: '' }时，查询会返回所有用户名非空的记录，完全绕过精确匹配逻辑。

1.2 36种典型攻击场景分类

根据攻击手法与影响范围，可将NoSQL注入分为六大类共36种典型场景：

1. 查询逻辑操纵（12种）：如$or/$and逻辑注入、$ne不等于绕过
2. 数据结构破坏（8种）：BSON类型混淆、数组注入
3. 聚合管道污染（5种）：$group阶段注入、$project字段投射篡改
4. 事务与会话劫持（4种）：事务ID重放、会话上下文污染
5. 存储过程执行（3种）：MongoDB mapReduce注入、Redis EVAL脚本注入
6. 云数据库特有攻击（4种）：Atlas集群查询劫持、DynamoDB条件表达式注入

二、主流NoSQL数据库注入实战解析

2.1 MongoDB注入深度剖析

MongoDB的查询语法灵活性使其成为注入攻击的重灾区。典型攻击手法包括：

• JavaScript注入：通过$where操作符执行任意JS代码

  // 恶意请求示例
  GET /api/users?filter={"username":{"$where":"this.password.length<8"}}

• 多键值注入：利用对象展开特性覆盖查询条件

  // 攻击者构造的恶意对象
  { "username": "admin", "$or": [{ "role": "admin" }] }

防御建议：

1. 启用MongoDB的严格模式（strict: true）
2. 使用mongoose等ORM库的schema验证
3. 对$where等危险操作符实施白名单控制

2.2 Redis注入特殊场景

Redis虽为键值存储，但通过以下方式仍可被注入：

• Lua脚本注入：在EVAL命令中拼接用户输入

  -- 危险代码示例
  local key = ARGV[1] -- 攻击者可输入"$(sleep 5)"
  redis.call("SET", key, "malicious")

• 键名混淆：利用特殊字符构造意外键名

  # 攻击者构造的键名
  SET "user\nset:admin" "1"

防御建议：

1. 禁用EVAL动态脚本执行（改用预编译脚本）
2. 对键名实施严格的字符集过滤（仅允许[a-zA-Z0-9_:.-]）
3. 使用Redis模块化架构隔离危险操作

三、36种防御策略矩阵

3.1 输入验证黄金法则

实施三层验证机制：

1. 语法层：使用正则表达式验证数据格式（如邮箱、ID格式）
2. 语义层：检查数据是否符合业务规则（如年龄范围）
3. 上下文层：根据操作类型调整验证强度（查询 vs 写入）

3.2 查询参数化最佳实践

• MongoDB：使用$match聚合阶段替代原始查询

  // 安全代码示例
  db.users.aggregate([
  { $match: { username: req.query.username } } // 参数自动转义
  ]);

• Redis：采用SCAN迭代器替代模式匹配

  # Python安全示例
  for key in r.scan_iter(match="user:*"):  # 限制前缀
    process(key)

3.3 运行时防护技术

1. 查询沙箱：对NoSQL查询实施资源限制（CPU、内存）
2. 异常检测：建立查询基线，监控异常模式（如全表扫描）
3. 日志审计：记录所有修改类操作的原始查询与执行结果

四、企业级防护体系构建

4.1 开发流程强化

1. 安全编码规范：将NoSQL注入防护纳入代码审查清单
2. 依赖管理：定期更新NoSQL驱动至最新安全版本
3. 混沌工程：模拟注入攻击测试系统韧性

4.2 基础设施加固

1. 网络隔离：将NoSQL数据库置于私有子网
2. 最小权限原则：数据库用户仅授予必要操作权限
3. 加密传输：强制使用TLS 1.2+协议

4.3 持续监控方案

1. 实时告警：对包含$where、eval等危险关键字的查询触发警报
2. 行为分析：建立用户查询行为画像，检测异常偏离
3. 威胁情报：订阅CVE数据库，及时应对新发现的漏洞

五、未来趋势与应对

随着NoSQL数据库的演进，注入攻击呈现两大新趋势：

1. AI辅助攻击：利用机器学习生成最优攻击载荷
2. Serverless注入：针对云函数中的NoSQL操作发起攻击

防御建议：

1. 部署RASP（运行时应用自我保护）技术
2. 采用同态加密处理敏感查询
3. 参与NoSQL安全社区，共享防御经验

结语

NoSQL注入防护是一个持续演进的过程，需要开发者、安全团队和运维人员协同作战。通过实施本文提出的36种防御策略，构建涵盖预防、检测、响应的全生命周期安全体系，可显著降低数据库被注入的风险。记住：安全不是产品，而是需要持续投入的过程。