NoSQL数据库注入原理与实践

1. NoSQL注入概述

NoSQL注入是一种安全漏洞，攻击者可以利用它干扰应用程序对NoSQL数据库的查询。与传统SQL注入类似，但针对的是非关系型数据库系统。

攻击者可能利用NoSQL注入实现：

• 绕过认证或保护机制
• 提取或编辑数据
• 导致拒绝服务
• 在服务器上执行代码

2. NoSQL数据库特点

NoSQL数据库与传统SQL数据库的主要区别：

• 以非关系表格式存储和检索数据
• 使用多种查询语言而非通用标准SQL
• 关系约束较少

3. NoSQL注入类型

3.1 语法注入

当攻击者能够破坏NoSQL查询语法并注入自己的有效载荷时发生。方法与SQL注入类似，但由于NoSQL数据库查询语言和数据结构多样，攻击方式也有所不同。

3.2 操作符注入

发生在使用NoSQL查询操作符操作查询时。

4. NoSQL语法注入检测方法

4.1 模糊测试

通过提交模糊字符串和特殊字符系统测试每个输入：

• 如果知道目标数据库API语言，使用相关特殊字符
• 否则使用针对多种API语言的模糊字符串

MongoDB示例模糊字符串：'"{ ;$Foo} $Foo \xYZ

4.2 确定处理字符

注入单个字符（如'）观察响应变化：

this.category == '''

如果响应变化，可能表明字符破坏了查询语法。

4.3 确认条件行为

发送两个请求测试布尔条件影响：

1. 假条件：' && 0 && 'x
2. 真条件：' && 1 && 'x

如果应用程序表现不同，表明注入语法会影响服务器端查询。

4.4 覆盖现有条件

注入总是求值为true的JavaScript条件：

'||'1'=='1

导致MongoDB查询：

this.category == 'fizzy'||'1'=='1'

这将返回所有项目，可能泄露隐藏或未知类别的产品。

警告：注入总是为true的条件需谨慎，可能导致意外的数据丢失。

5. MongoDB注入实践

5.1 示例场景

购物应用程序显示不同类别产品，选择"汽水饮料"类别时：

https://insecure-website.com/product/lookup?category=fizzy

对应MongoDB查询：

this.category == 'fizzy'

5.2 注入攻击构建

URL编码的模糊字符串攻击：

https://insecure-website.com/product/lookup?category='%22%60%7b%0d%0a%3b%24Foo%7d%0d%0a%24Foo%20%5cxYZ%00

5.3 JSON属性注入

某些应用程序需要通过JSON属性注入，有效载荷变为：

'\"{\r;$Foo}\n$Foo \\xYZ\u0000

6. 防御措施

1. 输入验证：严格验证所有用户输入
2. 参数化查询：使用安全的API和参数化接口
3. 最小权限原则：数据库账户使用最小必要权限
4. 输出编码：对输出数据进行适当编码
5. 安全配置：遵循数据库安全最佳实践

7. 实践靶场

练习NoSQL注入检测的靶场地址：
https://portswigger.net/web-security/nosql-injection/lab-nosql-injection-detection