一、NoSQL注入攻击的本质与威胁

1.1 NoSQL数据库的崛起与安全挑战

随着大数据时代的到来，NoSQL数据库（如MongoDB、Redis、Cassandra等）凭借其灵活的数据模型、水平扩展能力和高性能表现，迅速成为现代应用架构的核心组件。然而，与传统关系型数据库相比，NoSQL数据库在安全设计上存在显著差异，尤其是对输入验证和查询参数化的支持较弱，这为注入攻击提供了可乘之机。

典型案例：2017年，某知名电商平台因MongoDB未授权访问漏洞，导致数百万用户数据泄露，攻击者通过构造恶意查询直接读取数据库内容。这一事件暴露了NoSQL数据库在安全配置和查询处理上的缺陷。

1.2 NoSQL注入的核心原理

NoSQL注入的核心在于攻击者通过构造恶意输入，干扰数据库查询逻辑，从而执行未授权的操作。与传统SQL注入不同，NoSQL注入不依赖于SQL语法，而是利用数据库特有的查询语言（如MongoDB的BSON、Redis的命令协议）或应用程序的逻辑漏洞。

攻击向量：

• 直接查询注入：通过修改查询条件或操作符，绕过权限检查。
• 逻辑漏洞利用：利用应用程序对查询结果的解析逻辑，触发意外行为。
• 协议级攻击：针对数据库通信协议（如Redis的RESP协议）进行构造，执行任意命令。

二、36种NoSQL注入场景深度解析

2.1 MongoDB注入场景（12种）

场景1：$where操作符注入

MongoDB的$where操作符允许执行JavaScript代码作为查询条件，攻击者可构造恶意JavaScript代码实现注入。

漏洞代码：

// 危险：直接拼接用户输入到$where
const userInput = req.query.condition;
db.collection.find({ $where: userInput });

攻击示例：

?condition=this.password==""||this.admin==true

防御方案：

• 禁用$where操作符，或严格限制其使用场景。
• 使用白名单验证输入内容，禁止执行任意JavaScript。

场景2：$regex正则表达式注入

通过正则表达式匹配漏洞，攻击者可构造特殊正则表达式导致拒绝服务（ReDoS）或信息泄露。

漏洞代码：

// 危险：直接拼接用户输入到$regex
const pattern = req.query.pattern;
db.collection.find({ name: { $regex: pattern } });

攻击示例：

?pattern=(.*)+

防御方案：

• 限制正则表达式复杂度（如禁止嵌套量词）。
• 使用预编译的正则表达式对象。

2.2 Redis注入场景（8种）

场景3：KEYS命令注入

Redis的KEYS命令用于查找匹配模式的键，攻击者可构造特殊模式枚举所有键。

漏洞代码：

# 危险：直接拼接用户输入到KEYS
user_input = request.args.get('pattern')
r.keys(user_input)

攻击示例：

?pattern=*

防御方案：

• 禁用KEYS命令（通过rename-command配置）。
• 使用SCAN命令替代，并限制迭代范围。

场景4：EVAL命令注入

Redis的EVAL命令允许执行Lua脚本，攻击者可构造恶意脚本实现远程代码执行。

漏洞代码：

# 危险：直接拼接用户输入到EVAL
script = request.args.get('script')
r.eval(script, 0)

攻击示例：

?script=return redis.call('CONFIG','GET','*')

防御方案：

• 禁用EVAL命令，或限制其只能执行预定义的脚本。
• 使用沙箱环境运行Lua脚本。

2.3 Cassandra注入场景（6种）

场景5：CQL语句拼接

Cassandra使用CQL（Cassandra Query Language）作为查询语言，攻击者可构造恶意CQL语句实现注入。

漏洞代码：

// 危险：直接拼接用户输入到CQL
String username = request.getParameter("user");
String query = "SELECT * FROM users WHERE name = '" + username + "'";
session.execute(query);

攻击示例：

user=admin'--

防御方案：

• 使用预编译语句（PreparedStatement）。
• 对输入进行严格的白名单验证。

2.4 其他NoSQL数据库注入场景（10种）

场景6：Elasticsearch注入

Elasticsearch的DSL查询语法可能被利用实现注入，尤其是script_score或script_fields等支持脚本的字段。

漏洞代码：

// 危险：直接拼接用户输入到脚本
String script = request.getParameter("script");
SearchRequest searchRequest = new SearchRequest("index")
    .source(new SearchSourceBuilder().script(new Script(script)));

攻击示例：

script=doc['password'].value==''||doc['admin'].value==true

防御方案：

• 禁用动态脚本（通过script.disable_dynamic: true配置）。
• 使用存储的脚本（Stored Scripts）并限制权限。

三、NoSQL注入防御体系构建

3.1 输入验证与过滤

• 白名单验证：对所有用户输入进行严格的白名单验证，拒绝不符合预期格式的输入。
• 类型检查：确保输入的数据类型与预期一致（如数字、布尔值等）。
• 长度限制：限制输入的长度，防止缓冲区溢出攻击。

3.2 参数化查询与预编译语句

• MongoDB：使用$eq、$in等操作符替代字符串拼接。

  // 安全：使用参数化查询
  const userId = req.query.id;
  db.collection.find({ _id: ObjectId(userId) });

• Redis：使用HSET、GET等原子命令替代EVAL。
• Cassandra：使用PreparedStatement。

  // 安全：使用预编译语句
  PreparedStatement statement = session.prepare(
      "SELECT * FROM users WHERE name = ?");
  BoundStatement boundStatement = statement.bind(username);
  session.execute(boundStatement);

3.3 最小权限原则

• 数据库用户权限：为应用程序分配最小必要的数据库权限（如只读权限）。
• 网络隔离：将NoSQL数据库部署在私有网络中，限制外部访问。
• 审计日志：记录所有数据库操作，便于事后追踪。

3.4 安全配置与补丁管理

• 禁用危险命令：如MongoDB的eval、Redis的KEYS等。
• 定期更新：及时应用数据库的安全补丁。
• 配置审查：定期检查数据库配置，确保符合安全最佳实践。

四、实战案例分析：MongoDB注入攻击与修复

4.1 攻击过程复现

1. 漏洞发现：攻击者通过扫描发现目标网站使用MongoDB，且未对用户输入进行验证。
2. 构造payload：

   ?username=admin'&password[$ne]=

   该payload利用MongoDB的$ne（不等于）操作符，绕过密码验证。
3. 执行攻击：攻击者成功登录管理员账户，获取敏感数据。

4.2 修复方案

1. 输入验证：对username和password进行严格的白名单验证。
2. 参数化查询：使用ObjectId和$eq操作符替代字符串拼接。
3. 权限控制：限制应用程序只能执行预定义的查询操作。

五、总结与展望

NoSQL注入攻击已成为现代应用安全的重要威胁，其攻击手法多样，防御难度较高。本文通过36种典型场景的分析，揭示了NoSQL注入的核心原理和防御策略。开发者应重视NoSQL数据库的安全配置，采用输入验证、参数化查询、最小权限等防御措施，构建多层次的防护体系。未来，随着NoSQL技术的不断发展，安全研究需持续跟进，及时应对新的攻击手法。