NoSQL注入攻击：防御策略与实战解析

一、NoSQL注入攻击的本质与威胁

NoSQL注入攻击（NoSQL Injection）是针对非关系型数据库（如MongoDB、Redis、Cassandra等）的恶意数据操作行为，其核心原理是通过构造恶意输入破坏数据库查询逻辑，导致未授权的数据泄露、篡改或服务中断。与传统SQL注入不同，NoSQL注入更依赖数据库特有的查询语法和API特性，攻击面更广且隐蔽性更强。

1.1 攻击原理

NoSQL数据库的查询接口通常支持动态参数化查询（如MongoDB的$where操作符、Redis的EVAL脚本），攻击者可通过以下方式注入恶意逻辑：

• 参数污染：在查询条件中插入特殊字符或运算符（如$gt、$or），绕过原有条件。
• 脚本注入：利用数据库支持的脚本语言（如MongoDB的JavaScript、Redis的Lua）执行任意代码。
• 协议劫持：通过篡改NoSQL客户端与服务器间的通信协议（如BSON、RESP）实施攻击。

1.2 典型攻击场景

• 数据泄露：通过注入{$or: [{}, {"password": {"$ne": null}}]}绕过身份验证，获取所有用户数据。
• 服务拒绝：在Redis中注入无限循环的Lua脚本，耗尽服务器资源。
• 权限提升：利用MongoDB的db.eval()执行系统命令，获取主机控制权。

二、NoSQL注入攻击的常见类型

根据攻击目标和手段，NoSQL注入可分为以下四类：

2.1 查询条件注入

案例：MongoDB查询接口未过滤用户输入，攻击者构造如下请求：

// 恶意请求
{
  "username": "admin",
  "password": {"$gt": ""} // 绕过密码验证
}

后果：数据库返回所有密码非空的记录，导致用户信息泄露。

2.2 脚本语言注入

案例：Redis的EVAL命令允许执行Lua脚本，攻击者注入：

EVAL "while true do end" 0

后果：服务器CPU占用率飙升至100%，服务不可用。

2.3 协议层注入

案例：MongoDB使用BSON协议，攻击者发送畸形BSON数据：

<BSON长度字段被篡改为极大值>

后果：服务器解析时内存溢出，崩溃或执行任意代码。

2.4 聚合管道注入

案例：MongoDB聚合操作未过滤输入，攻击者注入：

db.collection.aggregate([
  {"$match": {"$where": "this.password == '' || require('child_process').exec('rm -rf /')"}}
])

后果：执行系统命令，删除服务器文件。

三、NoSQL注入攻击的防御策略

防御NoSQL注入需从代码层、数据库层、网络层多维度构建防护体系。

3.1 输入验证与参数化查询

• 严格类型检查：对数字、布尔值等输入进行类型强制转换。

  // Node.js示例：强制转换用户ID为数字
  const userId = Number(req.query.id);
  if (isNaN(userId)) throw new Error("Invalid ID");

• 使用ORM/ODM工具：如Mongoose（MongoDB）、Sequelize（多数据库支持）自动过滤危险字符。

  const User = mongoose.model('User', { username: String, password: String });
  // 自动转义$where等操作符
  User.find({ username: req.body.username }).exec();

3.2 最小权限原则

• 数据库用户权限控制：
  • MongoDB：为应用创建只读用户，禁用db.eval()。

    db.createUser({
    user: "app_reader",
    roles: ["readAnyDatabase"]
    });

  • Redis：使用RENAME-COMMAND禁用危险命令。

    RENAME-COMMAND CONFIG ""

3.3 网络层防护

• WAF规则配置：部署支持NoSQL协议的WAF（如ModSecurity），拦截含$where、EVAL等关键字的请求。
• API网关过滤：在网关层对JSON请求体进行正则匹配，阻断可疑查询。

3.4 日志与监控

• 异常查询告警：记录含聚合操作、脚本执行的查询，设置频率阈值。

  // MongoDB慢查询日志配置
  db.setProfilingLevel(1, { slowms: 100 });

• 行为分析：通过ELK栈分析数据库操作日志，识别批量数据导出等异常行为。

四、实战案例：MongoDB注入攻击与防御

4.1 攻击复现

环境：MongoDB 4.4 + Node.js Express应用。
漏洞代码：

app.post('/login', async (req, res) => {
  const { username, password } = req.body;
  // 危险：直接拼接用户输入到查询
  const user = await db.collection('users').findOne({
    username,
    password: { $regex: password } // 正则注入点
  });
  if (user) res.send("Login success");
});

攻击Payload：

{
  "username": "admin",
  "password": ".*|{$gt:[]}" // 匹配任意密码或注入空数组绕过
}

结果：攻击者无需知道密码即可登录。

4.2 修复方案

1. 使用Mongoose Schema验证：

   const userSchema = new mongoose.Schema({
     username: { type: String, required: true },
     password: { type: String, match: /^[a-zA-Z0-9]{8,}$/ } // 限制密码格式
   });

2. 禁用危险操作符：

   const mongooseOptions = {
     sanitizeFilter: true // Mongoose插件自动过滤$where等操作符
   };

3. 启用审计日志：

   mongod --auditDestination file --auditFormat JSON --auditPath /var/log/mongodb/audit.json

五、未来趋势与建议

随着NoSQL数据库的普及，注入攻击将呈现以下趋势：

• AI辅助攻击：利用机器学习生成更复杂的注入Payload。
• 云原生攻击：针对Serverless NoSQL服务（如AWS DynamoDB）的API密钥泄露。
• 供应链攻击：通过污染NoSQL客户端库传播恶意代码。

建议：

1. 定期更新NoSQL数据库至最新版本，修复已知漏洞。
2. 建立红蓝对抗机制，模拟NoSQL注入攻击测试防御体系。
3. 参与CVE数据库监控，及时响应新发现的漏洞（如CVE-2021-44228影响MongoDB Java驱动）。

NoSQL注入攻击的防御是一场持久战，需结合技术手段与管理流程，构建纵深防御体系。开发者应始终遵循“默认安全”原则，在设计阶段即考虑安全需求，而非事后修补。