深入Burp靶场：NoSQL注入攻击实战与防御指南

一、NoSQL注入基础：原理与威胁

NoSQL数据库（如MongoDB、Redis）因灵活的数据模型和高扩展性被广泛应用，但其查询接口（如MongoDB的find()）若未严格校验用户输入，可能成为注入攻击的突破口。与传统SQL注入不同，NoSQL注入通过构造恶意数据结构（如JSON、BSON）篡改查询逻辑，绕过身份验证或窃取敏感数据。

攻击原理：
NoSQL查询通常依赖动态生成的查询条件。例如，用户登录时，后端可能执行如下查询：

db.users.find({ username: input.user, password: input.pass });

若攻击者将input.user替换为{ $ne: "" }（非空字符串），input.pass替换为{ $gt: "" }（大于空字符串），则查询条件变为：

db.users.find({ 
  username: { $ne: "" }, 
  password: { $gt: "" } 
});

此时，任何非空用户名和密码的组合均可通过验证，导致身份绕过。

威胁场景：

1. 身份绕过：通过构造恒真条件（如$ne、$gt）绕过登录验证。
2. 数据泄露：利用$where操作符执行JavaScript代码，读取任意数据。
3. 拒绝服务：通过恶意查询耗尽数据库资源（如无限递归查询）。

二、Burp靶场实战：NoSQL注入攻击模拟

Burp Suite的Web Security Academy靶场提供了NoSQL注入的实战环境。以下以MongoDB注入为例，演示攻击流程。

1. 环境搭建与靶场选择

• 访问Web Security Academy，选择“NoSQL Injection”实验模块。
• 靶场模拟一个用户登录接口，后端使用MongoDB查询用户凭证。

2. 攻击步骤

步骤1：探测注入点
在登录表单中输入任意用户名和密码，使用Burp Suite拦截请求，修改username和password参数为JSON数组格式：

POST /login HTTP/1.1
Content-Type: application/json
{"username": {"$ne": ""}, "password": {"$gt": ""}}

发送请求后，若返回“登录成功”，则证明存在NoSQL注入漏洞。

步骤2：构造恒真条件
进一步优化攻击载荷，使用$or操作符构造更隐蔽的恒真条件：

{"username": {"$eq": "admin"}, "$or": [{"password": {"$eq": ""}}]}

此查询等价于“用户名等于admin或密码为空”，可绕过密码校验。

步骤3：数据泄露攻击
利用$where操作符执行JavaScript代码读取数据：

{"username": {"$where": "this.password.length > 0"}, "password": ""}

此查询会返回所有密码非空的用户记录，导致敏感数据泄露。

三、防御策略：多层次防护体系

1. 输入验证与过滤

• 严格类型检查：确保用户输入为预期类型（如字符串、数字），拒绝JSON/BSON结构。
• 白名单校验：对用户名、密码等字段使用正则表达式限制字符集（如^[a-zA-Z0-9_]+$）。
• 转义特殊字符：对输入中的$、{、}等符号进行转义或过滤。

2. 参数化查询与ORM框架

• 使用参数化查询：避免直接拼接用户输入到查询语句中。例如，MongoDB的Node.js驱动支持：

  const user = await db.collection('users').findOne({ 
  username: req.body.username, 
  password: req.body.password 
  });

• 采用ORM框架：如Mongoose（MongoDB）、Sequelize（SQL），通过模型定义和查询方法封装安全查询。

3. 最小权限原则与网络隔离

• 数据库权限控制：限制应用账号仅能访问必要集合和操作（如仅允许find，禁止eval）。
• 网络隔离：将数据库部署在内网，通过API网关暴露受限接口。

4. 日志监控与异常检测

• 记录查询日志：监控异常查询模式（如频繁的$where操作）。
• 部署WAF：使用云WAF（如AWS WAF）或开源方案（如ModSecurity）拦截恶意请求。

四、进阶技巧：Burp插件与自动化扫描

1. Burp插件开发：编写自定义插件检测NoSQL注入，例如解析JSON响应并标记异常查询。
2. 自动化扫描工具：使用nosql-injection-tool等开源工具批量测试靶场环境。
3. AI辅助分析：结合机器学习模型识别异常查询模式（如基于查询复杂度的异常检测）。

五、总结与行动建议

NoSQL注入攻击的核心在于未校验的用户输入与动态查询的结合。开发者应：

1. 优先使用参数化查询，避免直接拼接用户输入。
2. 定期审计代码，检查是否存在未过滤的JSON/BSON操作。
3. 参与CTF比赛（如PortSwigger的Web Security Academy），实战提升技能。
4. 关注安全公告，及时修复NoSQL数据库的已知漏洞（如MongoDB的CVE-2021-24367）。

通过本文的实战案例与防御策略，读者可系统掌握NoSQL注入的攻击手法与防范技巧，为构建安全的Web应用奠定基础。