36种NoSQL注入场景全解析：从原理到防御

一、NoSQL注入攻击的本质与危害

NoSQL注入（NoSQL Injection）是针对非关系型数据库的攻击手段，通过构造恶意输入破坏查询逻辑，导致数据泄露、篡改或系统崩溃。与SQL注入不同，NoSQL注入利用的是MongoDB、Redis、Cassandra等数据库特有的查询语法和API特性。根据OWASP 2023报告，NoSQL注入漏洞的利用成功率较SQL注入高出23%，主要因其查询语法多样性导致防御难度增加。

1.1 攻击原理的底层逻辑

NoSQL数据库的查询接口通常接受JSON或BSON格式的输入，攻击者通过篡改这些输入参数实现注入。例如MongoDB的$where操作符允许执行JavaScript代码，若未过滤用户输入，攻击者可注入恶意脚本：

// 恶意请求示例
{
  "username": {"$where": "this.password.length < 8 ? 1 : 0"},
  "password": "admin"
}

此攻击会遍历集合中所有文档，泄露密码长度信息。

1.2 典型危害场景

• 数据泄露：通过$or、$regex等操作符枚举字段值
• 权限绕过：利用$function执行任意代码（MongoDB 4.4+）
• 拒绝服务：构造超大JSON导致内存耗尽
• 持久化后门：通过mapReduce写入恶意函数

二、36种NoSQL注入攻击分类详解

2.1 查询操作符注入（12种）

1. $where注入
   攻击者通过JavaScript表达式执行任意代码：

   // 恶意请求
   {"user": {"$where": "function() { return this.role === 'admin' }"}}

   防御：禁用$where或使用白名单验证函数名。

2. $regex正则注入
   利用正则表达式进行盲注：

   // 枚举用户名首字母
   {"email": {"$regex": "^a.*"}}

   防御：限制正则复杂度，禁用^、$等边界符。

3. $or逻辑注入
   构造永真条件绕过认证：

   {"$or": [{"username": "admin"}, {"password": {"$exists": true}}]}

   防御：强制使用$and逻辑，禁止混合逻辑操作符。

2.2 聚合框架注入（8种）

1. $accumulator代码注入
   MongoDB 5.0+的聚合操作允许自定义JavaScript：

   {"$accumulator": {
     "init": "function() { return {} }",
     "accumulate": "function(state, val) { require('child_process').execSync('rm -rf /') }"
   }}

   防御：禁用聚合阶段的$function操作符。

2. $mapReduce持久化攻击
   通过MapReduce写入恶意函数：

   db.collection.mapReduce(
     function() { emit(1, 1) },
     function() { require('fs').writeFileSync('/tmp/malware', 'evil') },
     {out: "malicious"}
   )

   防御：限制MapReduce的输出集合权限。

2.3 驱动层注入（6种）

1. Node.js驱动注入
   利用mongoose等ORM的查询构造器：

   // 恶意构造查询
   User.find({ $where: "this.constructor.constructor('return process')()" })

   防御：使用mongoose-sanitize中间件过滤输入。

2. Python驱动注入
   PyMongo的eval()方法风险：

   # 危险操作
   db.eval("function() { return db.users.find().toArray() }")

   防御：升级到PyMongo 4.0+，禁用eval()。

2.4 云数据库特殊注入（10种）

1. Atlas API密钥泄露
   通过注入获取云服务凭证：

   // 伪造请求头
   {"Authorization": "Bearer " + db.adminCommand({listDatabases: 1}).ok}

   防御：启用VPC对等连接，禁用公网访问。

2. Cosmos DB注入
   利用SQL API的特殊语法：

   -- 恶意查询
   SELECT * FROM c WHERE c.password = '' OR 1=1

   防御：使用参数化查询，禁用字符串拼接。

三、系统性防御方案

3.1 输入验证与净化

• 类型检查：强制参数为预期类型（如String、ObjectId）
• 正则白名单：仅允许字母数字组合

  const emailRegex = /^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$/;

• 深度净化：递归检查嵌套JSON对象

3.2 查询构建最佳实践

• 参数化查询：使用驱动提供的参数绑定

  # PyMongo安全示例
  users.find({"username": {"$eq": username}})

• 最小权限原则：为应用账户分配只读/特定集合权限
• 查询超时：设置maxTimeMS防止长时间运行查询

3.3 运行时防护

• RASP检测：部署运行时应用自我保护工具

  // Java示例：检测异常聚合操作
  if (query.contains("$function")) {
      throw new SecurityException("禁止使用$function操作符");
  }

• 日志审计：记录所有危险操作符的使用
• 异常处理：捕获并记录所有查询错误

3.4 架构级防护

• API网关过滤：在入口层拦截可疑请求
• 微隔离：数据库服务与应用服务网络隔离
• 定期扫描：使用工具如nosql-injection-scanner自动化检测

四、企业级防护案例

4.1 金融行业解决方案

某银行通过以下措施将NoSQL注入事件减少92%：

1. 部署自定义MongoDB驱动，自动过滤$where、$function
2. 建立查询模板库，所有查询必须从模板派生
3. 实施查询指纹系统，重复危险模式自动阻断

4.2 物联网平台实践

某IoT公司针对设备数据查询的防护：

// 中间件验证示例
app.use((req, res, next) => {
  const blacklist = ['$where', '$regex', '$function'];
  if (blacklist.some(op => JSON.stringify(req.body).includes(op))) {
    return res.status(403).send("非法操作符");
  }
  next();
});

五、未来趋势与建议

5.1 新兴攻击面

• Serverless注入：无服务器架构中的临时数据库连接
• AI辅助注入：利用GPT生成优化注入payload
• 多模数据库混合注入：同时攻击关系型和非关系型组件

5.2 长期防护建议

1. 建立安全开发流程（SDL）：将NoSQL安全纳入CI/CD管道
2. 定期红队演练：模拟攻击者视角测试防御体系
3. 关注CVE更新：及时修补驱动和数据库漏洞（如CVE-2023-38646）

结语

NoSQL注入攻击正呈现专业化、自动化趋势，36种攻击场景的识别与防御需要开发者建立系统化的安全思维。通过输入验证、查询控制、运行时防护和架构隔离的四层防御体系，可有效降低90%以上的注入风险。建议企业每季度进行安全审计，并保持对新兴攻击技术的持续跟踪。