Portswigger NoSQL注入Labs全解析：攻防实战指南

引言：NoSQL注入的崛起与威胁

随着NoSQL数据库（如MongoDB、CouchDB、Redis）在互联网应用中的广泛使用，传统SQL注入攻击的变种——NoSQL注入，逐渐成为Web安全领域的重要威胁。不同于关系型数据库的固定表结构，NoSQL的非结构化数据存储特性使得注入攻击更具隐蔽性，攻击者可通过构造恶意JSON、XML或自定义查询语句绕过验证，窃取或篡改敏感数据。

Portswigger Web Security Academy提供的NoSQL注入Labs，通过模拟真实场景（如用户认证、数据检索、聚合查询等），帮助安全研究者与开发者深入理解攻击原理，并掌握防御技巧。本文将结合Labs中的关键实验，系统解析NoSQL注入的攻击手法、防御策略及实战技巧。

一、NoSQL注入基础：原理与分类

1.1 NoSQL注入的核心原理

NoSQL注入的本质是通过构造恶意输入，篡改应用程序的查询逻辑。以MongoDB为例，其查询语法使用JSON格式的文档，开发者可能直接将用户输入拼接到查询条件中，导致攻击者通过注入特殊字符或对象修改查询意图。例如：

// 正常查询：根据用户名检索用户
db.users.find({ username: req.body.username });
// 攻击者输入：{"username": {"$ne": null}, "$gt": ""}
// 篡改后查询：返回所有非空用户名且字符串大于空的用户

1.2 常见NoSQL注入类型

类型	适用场景	攻击示例（MongoDB）
布尔注入	绕过登录验证	{"username": "admin", "password": {"$ne": ""}}
时间延迟	盲注场景	{"$where": "sleep(5000)"}
聚合注入	操纵聚合管道	[{"$match": {"status": {"$eq": null}}}]
重定向注入	修改查询目标集合	{"$db": "admin", "collection": "users"}

二、Portswigger Labs实战解析

实验1：基于布尔盲注的用户认证绕过

场景：应用程序通过MongoDB查询用户凭证，代码片段如下：

app.post('/login', async (req, res) => {
  const { username, password } = req.body;
  const user = await db.collection('users').findOne({
    username: username,
    password: password
  });
  if (user) res.send('Login successful');
  else res.send('Invalid credentials');
});

攻击步骤：

1. 构造恶意密码：输入{"$ne": ""}，使查询条件变为password: {"$ne": ""}，即“密码不为空”。
2. 组合用户名注入：若用户名可枚举，可进一步注入username: {"$regex": "^a"}匹配以“a”开头的用户名。
3. 自动化工具辅助：使用Burp Suite Intruder模块，迭代测试不同字符，逐步泄露用户名。

防御建议：

• 使用参数化查询或ORM框架（如Mongoose）。
• 对用户输入进行严格白名单校验。

实验2：聚合管道注入与数据泄露

场景：应用程序通过聚合查询统计用户数据，代码片段：

app.get('/stats', async (req, res) => {
  const pipeline = req.query.pipeline; // 用户可控
  const result = await db.collection('users').aggregate([pipeline]).toArray();
  res.json(result);
});

攻击步骤：

1. 注入聚合操作符：输入[{"$match": {"isAdmin": true}}]，泄露管理员账户。
2. 组合重定向操作符：输入[{"$lookup": {"from": "secrets", "localField": "_id", "foreignField": "userId"}}]，跨集合关联敏感数据。
3. 防御绕过：若应用程序过滤$符号，可尝试Unicode编码（如\u0024match）。

防御建议：

• 禁止用户直接传入聚合管道。
• 使用固定预设的聚合查询模板。

实验3：时间延迟盲注与条件判断

场景：应用程序通过$where操作符执行JavaScript条件判断，代码片段：

app.get('/check-user', async (req, res) => {
  const username = req.query.username;
  const exists = await db.collection('users').countDocuments({
    $where: `this.username === '${username}'`
  });
  res.send(exists > 0 ? 'User exists' : 'User not found');
});

攻击步骤：

1. 构造延迟语句：输入admin' || setTimeout(()=>{},5000) || '，通过响应时间判断条件是否成立。
2. 二进制搜索：结合布尔盲注与时间延迟，逐字符泄露数据（如admin' && this.password.charAt(0)==='a' || setTimeout(...)）。

防御建议：

• 禁用$where操作符，改用简单查询。
• 启用MongoDB的审计日志，监控异常查询。

三、防御策略：从代码到架构

3.1 代码层防御

• 输入验证：使用正则表达式限制输入格式（如仅允许字母数字）。
• 最小权限原则：数据库用户仅授予必要权限（如禁止eval权限）。
• 查询固定化：将查询逻辑封装为存储过程或预编译语句。

3.2 架构层防御

• WAF防护：部署支持NoSQL注入检测的WAF（如ModSecurity CRS规则）。
• 日志监控：记录所有数据库查询，设置异常查询告警。
• 隔离设计：敏感数据存储于独立集合，通过应用层逻辑关联。

四、工具与资源推荐

1. NoSQLMap：开源NoSQL注入工具，支持MongoDB、Redis等。
2. Burp Suite扩展：
   • Mongo Audit：自动检测MongoDB注入漏洞。
   • ActiveScan++：增强型被动扫描，识别异常查询。
3. 学习资源：
   • Portswigger Academy NoSQL注入系列实验。
   • OWASP NoSQL注入防护指南。

结语：安全需贯穿全生命周期

NoSQL注入的防御不仅是技术问题，更是安全意识与开发流程的体现。通过Portswigger Labs的实战训练，开发者可深入理解攻击链的每个环节，从而在代码设计、测试与运维阶段提前规避风险。未来，随着NoSQL数据库的持续演进，安全研究需保持同步，构建更稳固的防御体系。