关于NOSQL注入及防御

关于NOSQL注入及防御

• 相比于sql数据库，nosql数据库同样存在注入问题
• 举个攻击的例子，比如在登录的时候，一般需要一个用户名和密码
• 下面是简化版本的后端验证程序，如下

  var mongoose = require('mongoose');
  login = async function(ctx) {
      var username = ctx.request.body.username;
      var password = ctx.request.body.password;
  
      mongoose.findOne({
          username:username,
          password:password
      });
  }
  

• 看起来好像并没有问题，但是这里的username和password如果不是一个字符串会怎样
• 那就会构成一个查询条件，比如前端传递的参数是

  {
      "username": "Joh",
      "password": {"$gt":0}
  }
  

• 这时候就会构成一条查询语句，密码长度大于0的数据
• 这个本质上也是一种注入过程，本来是数据，现在变成了逻辑程序
• 那么如何防御呢？这里也给出一些解决方案

NOSQL注入的防御

1 ) 检查数据类型

• 检查数据类型，像是上面的password，一定是string类型的
• 如果不是可以自行选择处理方式，比如下面的强制类型转换

2 ) 类型转换

• 将参数直接强制转换成特定类型，就不会出现上面的问题
• 这是防注入的最好的方案

3 ) 写完整条件

• 将查询条件写完整，不让其存在注入漏洞的可能
• 这是最后的底线