Burp靶场实战：NoSQL注入攻击与防御全解析

一、NoSQL注入基础：从原理到风险

1.1 NoSQL数据库的普及与安全挑战

随着微服务架构和大数据应用的普及，MongoDB、Redis等NoSQL数据库因灵活的数据模型和高扩展性成为主流选择。然而，其非关系型特性（如JSON文档存储、无固定表结构）导致传统SQL注入防护机制失效，催生了新型注入攻击——NoSQL注入。

1.2 NoSQL注入的核心原理

NoSQL注入通过构造恶意输入，篡改数据库查询逻辑。例如：

• MongoDB聚合管道注入：攻击者通过$where操作符注入JavaScript代码，执行任意命令。
• 表达式注入：利用$gt、$eq等比较运算符绕过验证，例如username[$ne]=admin&password[$ne]=123可绕过登录检查。
• 数组参数污染：通过多值参数（如?id[]=1&id[]=2）触发数据库解析异常。

1.3 攻击场景与危害

• 数据泄露：通过db.collection.find({password: {$gt: ""}})遍历所有密码。
• 权限提升：注入role: {$in: ["admin"]}修改用户权限。
• 服务中断：恶意表达式导致CPU占用100%，引发拒绝服务。

二、Burp靶场实战：NoSQL注入攻击演示

2.1 靶场环境搭建

以DVWA（Damn Vulnerable Web Application）的NoSQL模块为例，部署MongoDB数据库，配置存在注入漏洞的API接口：

// 漏洞代码示例（Node.js + Express）
app.post('/login', async (req, res) => {
  const { username, password } = req.body;
  const user = await db.collection('users').findOne({
    username: username,
    password: { $eq: password }
  });
  if (user) res.send('Login Success');
  else res.send('Invalid Credentials');
});

2.2 Burp Suite攻击流程

1. 拦截请求：在Burp的Proxy模块中捕获登录请求，参数为username=test&password=123。
2. 构造注入Payload：
   • 绕过密码验证：修改为username=admin&password[$ne]=123，触发$ne（不等于）操作符。
   • 联合注入：username[$exists]=true&password[$exists]=false，强制返回第一个用户。
3. 发送请求：通过Repeater模块多次测试，观察响应差异。
4. 结果分析：若返回“Login Success”，则确认注入成功。

2.3 高级攻击技巧

• 盲注利用：通过时间延迟判断注入是否生效：

  // 攻击Payload示例
  username=admin&password[$gt]=1&db.eval('sleep(5000)')

• JWT令牌篡改：若应用使用JWT存储用户信息，可通过Base64解码后修改role字段，再重新签名。

三、防御策略：从代码到架构

3.1 输入验证与过滤

• 白名单校验：限制输入类型（如仅允许字母、数字）。
• 参数化查询：使用MongoDB官方驱动的参数绑定功能：

  // 安全代码示例
  const user = await db.collection('users').findOne({
    username: req.body.username,
    password: req.body.password
  });

• 禁用危险操作符：在MongoDB配置中禁用$where、$function等动态代码执行操作符。

3.2 最小权限原则

• 数据库用户权限：为应用账户分配只读权限，禁止执行db.eval()或findAndModify()。
• 网络隔离：将数据库部署在内网，通过API网关暴露有限接口。

3.3 监控与日志

• 异常检测：记录连续失败的登录请求，触发告警阈值（如5次/分钟）。
• 审计日志：启用MongoDB的慢查询日志，分析可疑操作模式。

四、企业级防护方案

4.1 WAF（Web应用防火墙）配置

• 规则定制：在ModSecurity或Cloudflare WAF中添加NoSQL注入特征规则，如检测$ne、$gt等关键字。
• 速率限制：对包含聚合操作符（如$group、$match）的请求进行限流。

4.2 静态代码分析

• SAST工具集成：使用Semgrep或Checkmarx扫描代码中的NoSQL注入风险，例如：

  # 危险代码模式（Semgrep规则）
  db.collection.find({"username": request.args.get("user"), "password": {"$eq": request.args.get("pass")}})

4.3 渗透测试常态化

• 红队演练：模拟攻击者利用NoSQL注入窃取数据，验证防御体系有效性。
• 漏洞修复跟踪：建立CVE数据库，及时更新MongoDB驱动版本（如修复CVE-2021-44228漏洞）。

五、未来趋势与应对

5.1 云原生环境下的挑战

• Serverless函数注入：AWS Lambda或Azure Functions中的NoSQL操作需加强IAM权限控制。
• 多模型数据库：如ArangoDB支持图、文档、键值混合存储，需针对不同模型设计防护策略。

5.2 AI辅助攻击与防御

• 攻击方：利用GPT-4生成NoSQL注入Payload，提高绕过率。
• 防御方：部署AI驱动的异常检测系统，实时识别新型攻击模式。

六、总结与行动建议

1. 立即行动：对现有NoSQL应用进行安全审计，优先修复未过滤用户输入的接口。
2. 长期规划：将NoSQL安全纳入SDL（安全开发生命周期），在设计阶段嵌入防护机制。
3. 工具推荐：
   • 攻击测试：Burp Suite + MongoDB Compass
   • 防御加固：MongoDB Atlas的内置审计日志 + AWS GuardDuty

通过本文的实战演示与防御策略，开发者可系统掌握NoSQL注入的攻防技术，构建更安全的Web应用。