NoSQL注入攻击：防御策略与实战解析

摘要

随着NoSQL数据库的广泛应用，其安全性问题日益凸显。NoSQL注入攻击作为一种新型威胁，通过构造恶意查询绕过安全机制，窃取或篡改敏感数据。本文从原理、类型、防御策略三个维度展开，结合MongoDB与Redis的实战案例，解析攻击手法并提供可落地的防御方案，助力开发者构建安全的NoSQL应用。

一、NoSQL注入攻击的原理与本质

NoSQL注入攻击的核心在于利用数据库查询的动态拼接特性，通过构造恶意输入破坏查询逻辑。与传统SQL注入不同，NoSQL注入不依赖特定语法（如SELECT * FROM），而是针对NoSQL的查询语言（如MongoDB的BSON、Redis的命令协议）进行攻击。

1.1 攻击触发场景

• 动态查询拼接：应用直接将用户输入拼接到查询条件中（如db.collection.find({username: req.body.user})）。
• 弱类型比较：NoSQL数据库的宽松类型系统可能导致{"username": {"$eq": "admin"}}与{"username": "admin"}等价，为攻击者提供可乘之机。
• 命令注入：Redis等键值存储可能因未过滤输入导致EVAL或SUBSCRIBE命令被恶意执行。

1.2 攻击链模型

1. 输入收集：攻击者通过表单、URL参数或API接口提交恶意数据。
2. 查询构造：恶意数据被拼接到查询条件中，形成攻击载荷。
3. 逻辑绕过：利用数据库特性（如$where、$func）执行任意代码。
4. 数据泄露：通过$or、$regex等操作符遍历数据库，窃取敏感信息。

二、NoSQL注入的常见类型与案例

2.1 MongoDB注入攻击

案例1：$where操作符注入

攻击代码：

// 恶意请求：username=admin"&$where=function(){return this.password==="123456"}
app.post('/login', (req, res) => {
  const { username, password } = req.body;
  db.users.findOne({
    username: { $regex: username },  // 未转义的正则表达式
    $where: `function(){return this.password==="${password}"}`  // 动态JS代码
  }).then(user => { /* ... */ });
});

攻击后果：攻击者可注入任意JavaScript代码，遍历数据库或篡改数据。

防御方案：

• 禁用$where操作符，改用$expr或聚合管道。
• 使用mongoose等ORM库的严格模式，自动转义输入。

2.2 Redis注入攻击

案例2：命令拼接注入

攻击代码：

# 恶意请求：key=test&value=;FLUSHALL
def set_key(request):
    key = request.GET.get('key')
    value = request.GET.get('value')
    r = redis.Redis()
    r.set(key, value)  # 未过滤的value可能包含Redis命令

攻击后果：攻击者可执行FLUSHALL清空数据库，或通过SUBSCRIBE发起拒绝服务攻击。

防御方案：

• 使用redis-py的StrictRedis客户端，禁止执行非SET/GET命令。
• 对输入值进行白名单校验（如仅允许字母、数字、下划线）。

三、NoSQL注入的防御策略

3.1 输入验证与过滤

• 白名单校验：限制输入为预期格式（如邮箱、手机号正则表达式）。
• 转义特殊字符：对$、{、}等NoSQL操作符进行转义。
• 使用安全库：
  • MongoDB：mongoose的sanitizeFilter插件。
  • Redis：redis-py的StrictRedis模式。

3.2 最小权限原则

• 数据库用户仅授予必要权限（如仅允许find，禁止eval）。
• 禁用危险操作符（如MongoDB的$where、$func）。

3.3 查询参数化

• 避免直接拼接字符串，使用参数化查询：

  // MongoDB参数化查询示例
  db.users.findOne({ username: req.body.user }, { password: 0 });

• Redis应使用setex等原子操作，而非拼接命令。

3.4 安全审计与监控

• 启用数据库日志，记录所有查询操作。
• 使用WAF（Web应用防火墙）拦截可疑请求（如包含$where、;的URL）。

四、实战演练：MongoDB注入检测与修复

4.1 漏洞检测

使用nosql-injection-tools扫描应用接口，检测是否支持动态查询：

# 示例：检测MongoDB的$where注入
curl -X POST http://api.example.com/login \
  -d "username=admin&password[0]=123&password[$where]=1==1"

若返回非预期数据，则可能存在漏洞。

4.2 修复步骤

1. 升级依赖：确保mongoose版本≥6.0（内置注入防护）。

2. 代码重构：

   // 修复前：危险拼接
   db.users.find({ username: req.body.user, $where: req.body.filter });
   // 修复后：参数化查询
   const filter = { username: req.body.user };
   if (req.body.password) filter.password = req.body.password;
   db.users.find(filter);

3. 测试验证：使用OWASP ZAP重新扫描，确认无注入点。

五、总结与展望

NoSQL注入攻击的本质是信任用户输入导致的逻辑漏洞。防御需从输入验证、权限控制、查询参数化三方面构建纵深防御体系。未来，随着NoSQL数据库的演进，攻击手法可能更加隐蔽（如利用聚合管道注入），开发者需持续关注安全动态，定期更新防御策略。

行动建议：

1. 立即检查代码中是否存在动态查询拼接。
2. 对数据库用户权限进行审计，禁用危险操作符。
3. 部署WAF并配置NoSQL注入规则。

通过以上措施，可显著降低NoSQL注入风险，保障数据安全。