C#-Abfragen für die CodeQL-Analyse

Erkunden Sie die Abfragen, die CodeQL zum Analysieren von Code verwendet, der in C# geschrieben wurde, wenn Sie die Abfragesammlung default oder security-extended auswählen.

Wer kann dieses Feature verwenden?

Code scanning ist für alle öffentlichen Repositorys auf GitHub.com verfügbar. Code scanning ist auch für private organisationseigene Repositorys verfügbar, die GitHub Enterprise Cloud nutzen und im Besitz einer Lizenz für GitHub Advanced Security sind. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

CodeQL enthält viele Abfragen zum Analysieren von C#-Code. Alle Abfragen in der default Abfragesammlung werden standardmäßig ausgeführt. Wenn Sie sich für die Verwendung der security-extended Abfragesammlung entscheiden, werden zusätzliche Abfragen ausgeführt. Weitere Informationen findest du unter CodeQL-Abfragesammlungen.

Integrierte Abfragen für die C#-Analyse

In dieser Tabelle sind die Abfragen aufgeführt, die mit der neuesten Version der Aktion CodeQL und CodeQL CLI verfügbar sind. Weitere Informationen finden Sie unter CodeQL-Änderungsprotokollen auf der Dokumentationsseite zu CodeQL.

Hinweis: Die automatische Korrektur von GitHub für code scanning befindet sich in der Betaversion. Funktionalität und Dokumentation können Änderungen unterliegen. In dieser Phase ist das Feature auf die von CodeQL erkannten JavaScript-, TypeScript-, Python und Java-Warnungen beschränkt. Wenn Sie ein Unternehmenskonto haben und GitHub Advanced Security verwenden, hat Ihr Unternehmen Zugang zur Beta-Version.

AbfragenameVerwandte CWEsStandardErweitertAutofix
Das Attribut „requireSSL“ ist nicht auf „true“ festgelegt319, 614
Beliebiger Dateizugriff während der Archivextraktion („Zip Slip“)022
ASP.NET Konfigurationsdatei aktiviert die Verzeichnissuche548
Einspeisung des Assembly-Pfads114
Speicherung von Klartext vertraulicher Informationen312, 315, 359
Cookie-Sicherheit: übermäßig weite Domäne287
Cookie-Sicherheit: übermäßig weiter Pfad287
Cookie-Sicherheit: beständiges Cookie539
Beim Erstellen einer ASP.NET Debug-Binärdatei werden möglicherweise vertrauliche Informationen angezeigt11, 532
Cross-Site Scripting079, 116
Denial of Service vom Vergleich der Benutzereingabe gegen teure regex1333, 730, 400
Deserialisierung von nicht vertrauenswürdigen Daten502
Deserialisierte Stellvertretung502
Verschlüsselung mit ECB327
Gefährdung privater Informationen359
Fehler beim Abbrechen der Sitzung384
Header-Überprüfung deaktiviert113
Falsche Kontrolle über die Generierung von Code094, 095, 096
Gefährdung von Informationen über eine Ausnahme209, 497
Gefährdung von Informationen durch übertragene Daten201
Unsichere Zufallselemente338
LDAP-Abfrage, die aus benutzerdefinierten Quellen erstellt wurde090
Protokolleinträge, die anhand der Benutzereingabe erstellt wurden117
Fehlende Tokenüberprüfung der siteübergreifende Anforderungsfälschung352
Fehlender globaler Fehler-Handler12, 248
Fehlender HTTP-Header für X-Frame-Options451, 829
Einspeisung regulärer Ausdrücke730, 400
Ressourceneinspeisung099
SQL-Abfrage, die aus benutzerdefinierten Quellen erstellt wurde089
Nicht gesteuerte Befehlszeile078, 088
Nicht kontrollierte Daten, die im Pfadausdruck verwendet werden022, 023, 036, 073, 099
Unkontrollierte Formatzeichenkette134
Nicht vertrauenswürdiger XML-Code wird unsicher gelesen.611, 827, 776
Nichtvalidierte lokale Zeiger-Arithmetik119, 120, 122, 788
URL-Umleitung von Remote-Quelle601
Benutzergesteuerte Überbrückung vertraulicher Methoden807, 247, 350
Unsichere Verschlüsselung327
Schwache Verschlüsselung: unzureichende RSA-Auffüllung327, 780
Schwache Verschlüsselung: Unzureichende Schlüsselgröße326
Einspeisung von XML-Befehlen091
XPath-Einspeisung643
Leeres Passwort in Konfigurationsdatei258, 862
Hartcodierte Verbindungszeichenfolge mit Anmeldedaten259, 321, 798
Hartcodierte Anmeldedaten259, 321, 798
Unsichere Referenz zu Direct-Objekten639
Unsichere SQL-Verbindung327
Fehlende Zugriffssteuerung auf Funktionsebene285, 284, 862
Fehlende XML-Validierung112
Passwort in Konfigurationsdatei13, 256, 313
Überbrückung der Serialisierungsprüfung20
Thread-unsicheres Erfassen eines ICryptoTransform-Objekts362
Thread-unsichere Verwendung eines statischen ICryptoTransform-Felds362
Verwendung von Dateiuploads434