「 典型安全漏洞系列 」14.NoSQL注入漏洞详解

最新推荐文章于 2025-03-08 19:06:43 发布
最新推荐文章于 2025-03-08 19:06:43 发布
阅读量2.1k 收藏 17
点赞数 26
分类专栏: 漏洞原理 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013129300/article/details/137739033
版权
本文详细探讨了NoSQL注入漏洞,涉及如何通过干扰查询语法和利用MongoDB运算符进行攻击。作者介绍了检测方法、不同类型注入(如语法注入和运算符注入),以及针对此类漏洞的防御措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

NoSQL注入是一个漏洞,攻击者能够干扰应用程序对NoSQL数据库进行的查询,本文我们将研究如何测试一般的NoSQL漏洞,然后重点研究如何利用MongoDB中的漏洞(MongoDB是最流行的NoSQL数据库)。

img

1. 什么是NoSQL注入

NoSQL注入是一个漏洞,攻击者能够干扰应用程序对NoSQL数据库进行的查询。NoSQL注入可能使攻击者能够:

  • 绕过身份验证或保护机制。
  • 提取或编辑数据。
  • 导致拒绝服务。
  • 在服务器上执行代码。

2. NoSQL注入的类型

  • 语法注入:当您可以破坏NoSQL查询语法,使您能够注入自己的负载时,就会发生这种情况。该方法与SQL注入中使用的方法类似。然而,由于NoSQL数据库使用一系列查询语言、查询语法类型和不同的数据结构,因此攻击的性质差异很大。
  • 运算符注入:当您可以使用NoSQL查询运算符来操作查询时,就会发生这种情况。

2.1. 语法注入

攻击者可以通过尝试破坏查询语法来检测NoSQL注入漏洞。要做到这一点,请通过提交模糊字符串和特殊字符来系统地测试每个输入,如果应用程序没有对它们进行充分的净化或过滤,这些字符串和字符会触发数据库错误或其他一些可检测的行为。

考虑一个显示不同类别产品的购物应用程序。当用户选择Fizzy饮料类别时,其浏览器会请求以下URL:
https://insecure-website.com/product/lookup?category=fizzy
这导致应用程序发送JSON查询,以从MongoDB数据库中的 product 集合中检索相关产品:
this.category == 'fizzy'

2.1.1. 确定要处理的字符

要确定应用程序将哪些字符解释为语法,可以注入单个字符。例如,您可以提交 ’ ,这将导致以下MongoDB查询:

this.category == '''
如果这导致原始响应发生变化,则这可能表明 ’ 字符破坏了查询语法并导致语法错误。可以通过在输入中提交有效的查询字符串来确认这一点,例如通过转义引号:
this.category == '\''
如果这不会导致语法错误,这可能意味着应用程序容易受到注入攻击。

2.1.2. 确认条件行为

检测到漏洞后,下一步是确定是否可以使用NoSQL语法影响布尔条件。
要测试这一点,请发送两个请求,一个条件为false,一个为true。例如,您可以使用条件语句 ’ && 0 && 'x 和 ’ && 1 && 'x ,如下所示

https://insecure-website.com/product/lookup?category=fizzy'+%26%26+0+%26%26+'x
https://insecure-website.com/product/lookup?category=fizzy'+%26%26+1+%26%26+'x

如果应用程序的行为不同,这表明false条件会影响查询逻辑,而true条件则不会。这表明注入这种语法风格会影响服务器端查询。

2.1.3. 覆盖现有条件

现在您已经确定可以影响布尔条件,可以尝试覆盖现有条件以利用该漏洞。例如,您可以注入一个始终计算为true的JavaScript条件,例如 ‘||1||’ :
https://insecure-website.com/product/lookup?category=fizzy%27%7c%7c%31%7c%7c%27
这将导致以下MongoDB查询:this.category == 'fizzy'||'1'=='1'
由于注入的条件始终为true,因此修改后的查询将返回所有项。这使攻击者能够查看任何类别中的所有产品,包括隐藏或未知类别。

2.2. 运算符注入

NoSQL数据库通常使用查询运算符,这些运算符提供了指定数据必须满足的条件才能包含在查询结果中的方法。MongoDB查询运算符的示例包括:

  • $where:匹配满足JavaScript表达式的文档
  • $ne:匹配所有不等于指定值的值
  • $in:匹配数组中指定的所有值
  • $regex:选择值与指定正则表达式匹配的文档

攻击者可以注入查询运算符来操作NoSQL查询。要做到这一点,请系统地将不同的运算符提交到一系列用户输入中,然后查看错误消息或其他更改的响应。

在JSON消息中,可以将查询运算符作为嵌套对象插入。例如, {"username":"wiener"} 变为 {"username":{"$ne":"invalid"}},对于基于URL的输入,可以通过URL参数插入查询运算符。例如, username=wiener 变为 username[$ne]=invalid 。如果这不起作用,您可以尝试以下操作:

  1. 将请求方法从 GET 转换为 POST
  2. Content-Type 标头更改为 application/json
  3. 将JSON添加到消息正文中
  4. 在JSON中注入查询运算符

3. 漏洞防御

  • 使用接受字符的allowlist对用户输入进行消毒和验证
  • 使用参数化查询插入用户输入,而不是将用户输入直接连接到查询中
  • 为防止操作员插入,应用已接受密钥的允许列表

4. 参考

[1] https://portswigger.net/web-security/nosql-injection

Nosql 注入从零到一
jklbnm12的博客
09-22 2745
Nosql 注入的简介 NoSQL 注入由于 NoSQL 本身的特性和传统的 SQL 注入有所区别。使用传统的SQL注入,攻击者利用不安全的用户输入来修改或替换应用程序发送到数据库引擎的 SQL 查询语句(或其他SQL语句)。 换句话说,SQL 注入使攻击者可以在数据库中 SQL 执行命令。 与关系数据库不同,NoSQL 数据库不使用通用查询语言。NoSQL 查询语法是特定于产品的,查询是使用应用程序的编程语言编写的:PHP,JavaScript,Python,Java 等。这意味着成功的注入使攻击者不仅可
安全漏洞】Rocket.Chat 远程命令执行漏洞分析
HBohan的博客
08-21 1413
简述 Rocket.Chat 是一个开源的完全可定制的通信平台,由 Javascript 开发,适用于具有高标准数据保护的组织。 2021年3月19日,该漏洞在 HackerOne 被提出,于2021年4月14日被官方修复。该漏洞主要是因为 Mongodb 的查询语句是类 JSON 形式的,如{"_id":“1”}。由于对用户的输入没有进行严格的检查,攻击者可以通过将查询语句从原来的字符串变为恶意的对象,例如{"_id":{"$ne":1}}即可查询 _id 值不等于 1 的数据。 影响版本 3.12.1&
探索Nosql注入漏洞:username和password枚举脚本
gitblog_00010的博客
06-07 823
探索Nosql注入漏洞:username和password枚举脚本 去发现同类优质开源项目:https://gitcode.com/ 在网络安全的世界里,了解并防御潜在的攻击是至关重要的。今天,我们向您推荐一个强大的开源工具——Nosql Injection Username and Password Enumeration Script。这个Python脚本专为检测Nosql(如MongoDB)...
SQL 注入漏洞详解 - Union 注入
最新发布
xnxqwzy的博客
03-08 1163
**即是指 Web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 Web 应用程序中事先定义好的查询语句的结尾上*添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,
NoSQL 注入
LYJ20010728的博客
09-17 2747
NoSQL 注入基本概念NoSQLMongoDBMemcachedRedisMongoDB 初步MongoDB 基础概念解析数据库(Database)文档(Document)集合(Collection)MongoDB 基础语法解析MongoDB 创建数据库MongoDB 创建集合MongoDB 插入文档MongoDB 更新文档update 方法save 方法MongoDB 查询文档MongoDB 与 RDBMS Where 语句的比较MongoDB AND 条件MongoDB OR 条件AND 和 OR 联
Nosql inject注入
god_Zeo的安全博客
11-28 1549
最近主要在看那个 YApi 的注入漏洞,也是一个 mongodb的注入 所以来写一下这个东西,其实现在越来越常见的Nosql注入
nosql注入
m0_68976043的博客
02-28 1785
关系型数据库 mysql oracle sqlserver非关系型数据库 key-value redis MongoDB(not only sql)
MONGODB 的基础 NOSQL注入基础
m0_64180167的博客
11-22 1805
首先来学习一下nosql这里安装就不进行介绍 只记录一下让自己了解mongodb。
安全开发-初级.md
09-08
- **普遍性**: 注入漏洞在遗留代码中尤为常见,特别是在SQL查询、LDAP查询、XPath查询或NoSQL查询、OS命令、XML解析器、SMTP头等场景中。 - **影响**: 注入攻击可能导致数据丢失或破坏、缺乏审计记录或拒绝服务,...
【SQL注入漏洞发现与修复】:教你如何成为一名漏洞赏金猎人,提升你的安全技能
![【SQL注入漏洞发现与...通过分析不同类型的SQL注入漏洞及其识别方法,本文提出了一系列有效的防御和修复技术,包括输入验证、参数化查询以及使用ORM框架等。此外,文章还对高级SQL注入技术进行了分析,并通过真实案
全面掌握SQL手工注入技术,多数据库环境下的注入技巧详解
此外,还涉及到参数加密、delete注入、过滤字符后手工注入漏洞测试和延时注入(时间注入)等内容。这份资料强调了即使面对那些无法使用自动化工具如sqlmap来利用的SQL注入点,手工注入技巧也有可能发现意外的漏洞...
Papaya:简单的NoSQL注入工具,可通过正则表达式强行强制绕过登录表单并提取用户名和密码
02-02
番木瓜 Papaya是一种工具,用于测试基于MongoDB / NoSQLWeb应用程序是否容易受到POST登录表单上的基本nosql注入的攻击,包括密码和用户名提取的测试。 该攻击通过在密码和用户名上注入nosql的$ regex和$ eq运算符而起作用。 用法 python3 papaya.py TARGET_URL 测试漏洞 如果应用程序容易受到攻击,请在肯定响应中搜索唯一的字符串并将其设置为标识符 选择攻击 依存关系 pip install -r requirements.txt
NoSQLInjectionAttackDemo-master.zip
12-08
文件在 kali linux下安装运行
mongo Web应用漏洞分析:三个攻击案例详解
然而,就像任何技术一样,如果使用不当,MongoDB也可能出现安全漏洞,使得攻击者能够非法访问数据或执行恶意操作。本资源文档提供了三个易受攻击的MongoDB Web应用程序示例,旨在教育开发者和安全研究员如何识别和...
简述NoSQL注入
2401_83799022的博客
03-27 751
​ 说明,场景可能为更新用户信息,前端传递修改的手机号、年龄等,但是后端并未对需要更新的字段进行白名单过滤,此时如果攻击者增加。格式的查询的数据交互方式让参数拼接变得难度倍增,但是并不代表没有可能。的应用程序,这样查询会更为方便,但是也具有一定的安全风险,特别是配合。数据库的兴起,安全问题也伴随着呈现。语句拼接前端不可信参数,未进行合理的编码导致。等等,为的是实现更为复杂的查询操作,比如。等字段,导致数据库信息修改,权限提升等。不等于1的用户,转换成我们熟悉的。层暴露了一个未经过滤的接口,参数。
nosql注入初探
China_I_LOVE的博客
11-06 1070
​ 可能是非关系数据库没接触的原因,或者JavaScript不熟悉的原因,整个过程很吃力,除了前面的布尔型都可以理解,最后一个实验有点没搞懂,主要就是这个函数。以及为什么在GET请求这里能想到令牌重置参数可能在这里,以至于绕过邮箱检测。
PortSwigger NoSQL 注入
weixin_42451330的博客
01-16 910
NoSQL 是一种非关系型数据库,适用于存储非结构化或半结构化数据,具有高扩展性和灵活性,但缺乏强一致性和复杂事务支持。NoSQL 注入是攻击者通过操纵 NoSQL 查询语法(如 JSON、BSON)或 API 调用,绕过验证或窃取数据。常见攻击方式包括语法注入、运算符注入和 JavaScript 注入。防御措施包括输入验证、参数化查询、禁用危险功能、使用白名单、最小权限原则、ORM/ODM 工具、编码转义以及日志监控。通过这些方法,可以有效防止 NoSQL 注入,确保应用程序安全
关于NOSQL注入及防御
Wang的专栏
06-17 1050
看起来好像并没有问题,但是这里的username和password如果不是一个字符串会怎样 那就会构成一个查询条件,比如前端传递的参数是 这时候就会构成一条查询语句,密码长度大于0的数据 这个本质上也是一种注入过程,本来是数据,现在变成了逻辑程序 那么如何防御呢?这里也给出一些解决方案 NOSQL注入的防御 1 ) 检查数据类型2 ) 类型转换3 ) 写完整条件...
NoSQL是什么?NoSQL数据库存在SQL注入攻击?
软件行业技术文化交流。
05-29 1297
NoSQL(Not Only SQL)是一种非关系型数据库的概念。与传统的关系型数据库不同,NoSQL数据库使用不同的数据模型来存储和检索数据。NOSQL数据库通常更适合处理大规模的非结构化和半结构化数据,且能够提供更高的可扩展性和性能。NOSQL数据库不要求数据遵循固定的模式,可以根据需要动态地添加新的属性和数据,因此在处理动态和变化的数据时更加灵活。常见的NoSQL数据库包括MongoDB、Cassandra、Redis等。NOSQL数据库在互联网应用、大数据处理和实时分析等领域得到广泛应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全栈安全

点赞收藏也是赞赏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值