NoSQL 注入攻击

当然，下面是一些常见的 MongoDB 中的 NoSQL 注入攻击示例，以及相应的防范方法。

1. 基本的 NoSQL 注入攻击

示例

假设有以下代码，用于查找特定用户：

let username = req.body.username; // 假设来自用户输入
db.collection('users').find({ username: username });

如果攻击者输入 username 为 {"$ne": null}，这样就会找到所有用户，因为 $ne 操作符代表“不是”条件。

防范方法

• 输入验证：限制 username 只能包含字母和数字，通过正则表达式进行验证。
• 使用参数化查询：改用参数化的方式来构造数据库查询。

let username = req.body.username;
if (/^[a-zA-Z0-9]+$/.test(username)) {
    db.collection('users').find({ username: username });
} else {
    // 处理无效输入
}

2. 使用逻辑操作符进行注入

示例

如果代码允许用户构造查询条件：

let query = { age: req.body.age, isActive: true };
db.collection('users').find(query);

攻击者可以提交的 age 为 {"$gt": 18}，从而查找所有年龄大于 18 的用户。

防范方法

• 严格输入验证：确保输入数据符合预期值的类型和范围。
• 禁止使用不明操作符：可以对输入的关键部分进行限制，只允许使用特定的查询字段。

3. 嵌套文档注入

示例

如果允许用户构造嵌套的文档，例如，用户能指定复杂的查询条件：

let filter = req.body.filter; // 假设用户可以自己定义 filter
db.collection('users').find(filter);

攻击者可以输入像 {"$or": [{"username": "admin"}, {"$exists": true}]} 的过滤条件，这可能导致信息泄露。

防范方法

• 限制操作符和字段：创建一个允许的字段和操作符的白名单，验证用户输入不包含任何不允许的操作符。
• 使用查询构造函数：避免直接从用户输入构造查询，而是使用固定的结构。例如：

let filter = {
    username: req.body.username,
    age: req.body.age,
};
db.collection('users').find(filter);

4. 注入通过数组操作符

示例

如果代码允许用户查询某个数组元素：

let genre = req.body.genre; // 用户输入例如 ['Fiction', 'Horror']
db.collection('books').find({ genres: { $in: genre } });

攻击者可以替换 genre 为恶意构造的内容，例如，{"$gt": ""}，这可能导致意外的数据泄露。

防范方法

• 限定数组内容：确保用户输入只能包含特定的值，用正则表达式或其他方式进行验证。
• 进一步缩减查询范围：确保只使用固定的查询条件。

总结

防范 NoSQL 注入攻击的策略包括：

• 验证和清理输入：使用正则表达式限制用户的输入内容。
• 使用参数化查询：尽量避免直接使用用户输入构造查询。
• 实施白名单策略：对字段和查询操作符进行严格限制。
• 限制数据库权限：减少数据库用户的访问权限。

通过深入理解这些攻击手法与防范措施，可以显著提升 MongoDB 应用的安全性。如果你还有其他反馈或想讨论的内容，欢迎继续交流！

具体如何防范， 可参考：
NoSQL注入攻击如何防范
https://blog.youkuaiyun.com/abckingaa/article/details/145815329