**NIVA（NoSQL Injection Vulnerable App）** 是一个有意设计为存在 NoSQL 注入漏洞的简单 Web 应用程序。该项目的目的是帮助广大软件工程师、安全工程师、渗透测试人员和培训师更好地理解 NoSQL 注入漏洞的原理和危害。 本项目通过提供**易于运行和检查的安全与不安全代码示例**，以及**简明易懂的文档**，方便用户动手实践和学习。当前版本基于 **MongoDB** 作为 NoSQL 数据库，并使用官方 Java 驱动进行数据访问。 用户名密码请看应用主界面。 ### 主要功能 - 用户可以通过邮箱地址搜索自己的联系人列表。 - 如果匹配成功，将返回该联系人的全部信息，包括手机号和地址等敏感数据。 - 应用内置了安全与不安全两套实现，便于对比和测试 NoSQL 注入攻击。 ### 漏洞演示 - 漏洞主要体现在不安全的代码中，开发者通过字符串拼接方式构造 MongoDB 查询，攻击者可通过特殊构造的输入（如 email 参数）实现注入，进而绕过权限或获取更多数据。 - 安全用法则推荐使用参数化查询（如 MongoDB 的 Filters 工厂类），有效防止注入攻击。 ### 适用人群 - 软件开发人员 - 安全工程师 - 渗透测试人员 - 网络安全培训师