SQL数据库具有SQL注入安全问题,所以一直好奇nosql是否有同样问题,经过调研后发现的确有这方面的讨论,但没有详细的描述和测试,因此我打算自己探个究竟。。。。(测试很简单,仅供学习交流
)
NoSQLinjection test
-
测试
-
使用mongo-java-driver 中BasicDBObject
结果:
若用户传入String则较为安全;但如果传入BasicDBObject对象,则可以通过构造特殊的BasicDBObject对象,来跳过检查,这里我用的是正则表达式。
评价:
一般,服务器只接受客户端传来的字符串或其它约定好的结构,所以上述方案没有太大影响。
-
使用mongo-java-driver 中Filters
结果:
与上述情况类似,只有通过构造特殊的BasicDBObject对象来逃避检查;
-
使用pymongo
结果:
通过构造特殊字符串,就可以达到逃避检查的效果。前提:服务器端用eval()来把json格式的字符串转换成pymongo的查询语句(可能还有其它方法,目前只测了这一种)。
评价:
若按照上述方案设计数据库接口,很危险。用户传来的字符串value,需要严格筛选。但话又说回来,若value字段是名字,如David O` J. Bruce这样含有特殊字符的,怎么筛选?所以还是应该在设计上改进。
-
直接在mongo shell终端操作
结果:
这是正常的正则匹配,但若有途径将/.*/传进来就危险了,上述几个测试均是利用此特性实现的逃避检查。
评价:
mongo支持JavaScript,若有人将恶意代码写入JavaScript,那么,,,!类似的还有$where、mapReduce、group等操作,使用时应谨慎!
(参考mongdb官网描述https://docs.mongodb.com/manual/faq/fundamentals/#how-does-mongodb-address-sql-or-query-injection)
所以,对mongodb不但要设置权限,还要尽量禁止JavaScript运行,包括启动时的--eval,
用法:mongo ip:port/db_name --eval ‘db.foo.find({“name”:/.*/})’
-
其它方式的nosql injection
利用json注入实现,利用PHP+JavaScript实现(这个十分类似SQL注入)等
参考:(nosql注入和防范)
http://erlend.oftedal.no/blog/?blogid=110
http://erlend.oftedal.no/blog/?blogid=111
https://docs.mongodb.com/manual/faq/fundamentals/#how-does-mongodb-address-sql-or-query-injection
http://www.php.net/manual/en/mongo.security.php