一、MongoDB与NoSQL注入的背景与定义

MongoDB作为最流行的NoSQL数据库之一，以其灵活的文档模型（BSON格式）和横向扩展能力，广泛应用于现代Web应用。然而，NoSQL数据库的“无模式”特性与传统关系型数据库的SQL注入存在本质差异，但其核心风险——用户输入未经验证直接用于数据库操作——依然存在。

NoSQL注入的定义：攻击者通过构造恶意输入，利用应用程序未对用户输入进行充分过滤或转义的漏洞，篡改MongoDB查询逻辑，从而窃取、修改或删除数据。与SQL注入不同，NoSQL注入针对的是MongoDB的查询语法（如$where、$regex等操作符），但其危害性毫不逊色。

二、MongoDB NoSQL注入的典型场景与代码示例

1. 动态查询构造漏洞

开发者常通过拼接用户输入构造查询条件，例如：

// 漏洞代码示例
app.get('/search', async (req, res) => {
  const username = req.query.username; // 用户输入未过滤
  const users = await db.collection('users').find({ 
    name: username 
  }).toArray();
  res.json(users);
});

攻击方式：攻击者传入{"$gt": ""}，将查询改为{ name: { "$gt": "" } }，可能返回所有用户数据（若数据库中存在空字符串或排序规则允许）。

防御建议：

• 使用参数化查询或ORM（如Mongoose的find({ name: req.query.username })）。
• 严格限制输入类型（如仅允许字符串、数字）。

2. $where操作符的滥用

$where允许执行JavaScript代码作为查询条件，极易被利用：

// 漏洞代码示例
app.get('/admin', async (req, res) => {
  const role = req.query.role;
  const admins = await db.collection('users').find({
    $where: `this.role === '${role}'` // 直接拼接用户输入
  }).toArray();
});

攻击方式：传入' || this.isAdmin === true，构造条件this.role === '' || this.isAdmin === true，绕过权限检查。

防御建议：

• 完全避免使用$where，改用明确的字段查询。
• 若必须使用，需对输入进行严格的白名单过滤（如仅允许字母、数字）。

3. $regex正则表达式注入

正则表达式操作符可能被用于模糊查询攻击：

// 漏洞代码示例
app.get('/products', async (req, res) => {
  const keyword = req.query.keyword;
  const products = await db.collection('products').find({
    name: { $regex: keyword, $options: 'i' } // 未过滤用户输入
  }).toArray();
});

攻击方式：传入.*返回所有产品，或(admin).*尝试匹配敏感字段。

防御建议：

• 限制正则表达式的复杂度（如禁用.、*等通配符）。
• 使用前缀匹配（如^keyword）替代全量匹配。

三、MongoDB NoSQL注入的高级攻击与防御

1. 聚合管道注入

MongoDB的聚合框架（aggregate()）若未过滤输入，可能被利用：

// 漏洞代码示例
app.get('/stats', async (req, res) => {
  const stage = req.query.stage; // 用户输入未过滤
  const result = await db.collection('orders').aggregate([
    { $match: { status: stage } }, // 攻击者可传入`{ $gt: 0 }`
    { $group: { _id: null, total: { $sum: "$amount" } } }
  ]).toArray();
});

防御建议：

• 对聚合阶段操作符（如$match、$project）进行白名单验证。
• 使用预定义的聚合管道模板，避免动态拼接。

2. 批量操作注入

bulkWrite()或updateMany()等批量操作若依赖用户输入，可能导致数据篡改：

// 漏洞代码示例
app.post('/update', async (req, res) => {
  const filter = req.body.filter; // 用户输入未过滤
  const update = req.body.update;
  await db.collection('users').updateMany(filter, update);
});

攻击方式：传入{ "isAdmin": true }作为过滤器，批量提升用户权限。

防御建议：

• 限制批量操作的权限（如仅允许特定字段更新）。
• 使用事务（session）隔离敏感操作。

四、综合防御策略与最佳实践

1. 输入验证与过滤

• 类型检查：使用mongoose的Schema定义字段类型（如String、Number）。
• 白名单过滤：对动态查询参数进行枚举值校验（如status仅允许active、inactive）。
• 转义特殊字符：对$、{、}等MongoDB操作符进行转义。

2. 最小权限原则

• 为数据库用户分配最小必要权限（如仅允许find、update特定集合）。
• 禁用JavaScript执行（enableJavaScript: false在MongoDB配置中）。

3. 安全工具与审计

• 静态分析：使用eslint-plugin-security等工具扫描代码中的危险操作。
• 日志监控：记录所有数据库查询，检测异常模式（如高频$where使用）。
• 依赖更新：定期升级MongoDB驱动和ORM库，修复已知漏洞。

4. 代码示例：安全查询实现

// 安全代码示例（使用Mongoose）
const userSchema = new mongoose.Schema({
  name: { type: String, required: true },
  role: { type: String, enum: ['user', 'admin'] } // 白名单枚举
});
app.get('/safe-search', async (req, res) => {
  try {
    const { name, role } = req.query;
    const query = {};
    // 严格验证输入
    if (name) query.name = new RegExp(escapeRegExp(name), 'i'); // 转义正则
    if (role && ['user', 'admin'].includes(role)) query.role = role;
    const users = await User.find(query);
    res.json(users);
  } catch (err) {
    res.status(400).json({ error: 'Invalid input' });
  }
});
function escapeRegExp(string) {
  return string.replace(/[.*+?^${}()|[\]\\]/g, '\\$&');
}

五、总结与展望

MongoDB NoSQL注入攻击的本质是信任用户输入，其防御需贯穿开发全流程：从输入验证、查询构造到权限控制。随着NoSQL数据库的普及，开发者必须意识到，灵活的文档模型并不意味着可以忽视安全。未来，随着MongoDB 5.0+的查询优化和安全增强（如字段级加密），防御手段将更加精细化，但核心原则始终不变：永不信任，始终验证。

通过结合严格的输入过滤、最小权限设计和安全工具链，开发者可以显著降低NoSQL注入风险，构建更健壮的Web应用。