JavaScript- und TypeScript-Abfragen für die CodeQL-Analyse

Erkunden Sie die Abfragen, die CodeQL zum Analysieren von Code verwendet, der in JavaScript oder TypeScript geschrieben wurde, wenn Sie die Abfragesammlung default oder security-extended auswählen.

Wer kann dieses Feature verwenden?

Code scanning ist für alle öffentlichen Repositorys auf GitHub.com verfügbar. Zur Verwendung von code scanning in einem privaten organisationseigenen Repository musst du über eine Lizenz für GitHub Advanced Security verfügen. Weitere Informationen findest du unter Informationen zu GitHub Advanced Security.

CodeQL enthält viele Abfragen zum Analysieren von JavaScript- oder TypeScript-Code. Alle Abfragen in der default Abfragesammlung werden standardmäßig ausgeführt. Wenn Sie sich für die Verwendung der security-extended Abfragesammlung entscheiden, werden zusätzliche Abfragen ausgeführt. Weitere Informationen findest du unter CodeQL-Abfragesammlungen.

Integrierte Abfragen für JavaScript- und TypeScript-Analysen

In dieser Tabelle sind die Abfragen aufgeführt, die mit der neuesten Version der Aktion CodeQL und CodeQL CLI verfügbar sind. Weitere Informationen finden Sie unter CodeQL-Änderungsprotokollen auf der Dokumentationsseite zu CodeQL.

Hinweis: Die automatische Korrektur von GitHub für code scanning befindet sich in der Betaversion. Funktionalität und Dokumentation können Änderungen unterliegen. In dieser Phase ist das Feature auf die von CodeQL erkannten JavaScript-, TypeScript-, Python und Java-Warnungen beschränkt. Wenn Sie ein Unternehmenskonto haben und GitHub Advanced Security verwenden, hat Ihr Unternehmen Zugang zur Beta-Version.

AbfragenameVerwandte CWEsStandardErweitertAutofix
Beliebiger Dateizugriff während der Archivextraktion („Zip Slip“)022
Ungültige HTML-Filterung regexp020, 080, 116, 184, 185, 186
Middleware-Pfad mit Unterscheidung nach Groß-/Kleinschreibung178
Speicherung von Klartext vertraulicher Informationen312, 315, 359
Übertragung von Klartext sensibler Cookies614, 311, 312, 319
Protokollierung von Klartext vertraulicher Informationen312, 359, 532
Clientseitiges Cross-Site Scripting079, 116
Clientseitige URL-Umleitung079, 116, 601
Codeeinschleusung094, 095, 079, 116
CORS-Fehlkonfiguration für die Übertragung von Anmeldedaten346, 639, 942
Erstellen von voreingenommenen Zufallszahlen aus einer kryptografisch sicheren Quelle327
Fensterübergreifende Kommunikation mit uneingeschränktem Zielursprung201, 359
Datenbankabfrage, die aus benutzerdefinierten Quellen erstellt wurde089, 090, 943
Abhängigkeitsdownload mit unverschlüsseltem Kommunikationskanal300, 319, 494, 829
Deserialisierung benutzergesteuerter Daten502
Deaktivieren der SSL-Zertifikatüberprüfung295, 297
Deaktivieren von Electron webSecurity79
Deaktivieren von SCE116
DOM-Text als HTML neu interpretiert079, 116
Doppelte Kompilierung1176
Doppeltes Escaping oder Unescaping116, 020
Herunterladen vertraulicher Dateien über unsichere Verbindung829
Aktivieren von Electron allowRunningInsecureContent494
Ausnahmetext als HTML neu interpretiert079, 116
Gefährdung privater Dateien200, 219, 548
Einfügen von Ausdrücken in Aktionen094
Hartcodierte Anmeldedaten259, 321, 798
Hostheader-Vergiftung bei der E-Mail-Generierung640
Unsachgemäße Codebereinigung094, 079, 116
Einschluss von Funktionen aus einer nicht vertrauenswürdigen Quelle830
Unvollständige Bereinigung von HTML-Attributen079, 116, 020
Unvollständige Mehrzeichen-Bereinigung020, 080, 116
Unvollständiger regulärer Ausdruck für Hostnamen020
Unvollständiges Zeichenketten-Escaping oder -Codierung020, 080, 116
Unvollständige URL-Schemaüberprüfung020, 184
Unvollständige URL-Substring-Bereinigung020
Falsche Suffix-Prüfung020
Ineffizienter regulärer Ausdruck1333, 730, 400
Gefährdung von Informationen über eine Stapelüberwachung209, 497
Unsichere Zufallselemente338
Unsichere URL-Whitelist183, 625
JWT fehlende Überprüfung geheimer oder öffentlicher Schlüssel347
Loop-gebundene Einspeisung834, 730
Fehlende CSRF-Middleware352
Fehlende Ratenbegrenzung770, 307, 400
Übermäßig zulässiger regulärer Ausdrucksbereich020
Polynomischer regulärer Ausdruck, der für unkontrollierte Daten verwendet wird1333, 730, 400
Prototyp-belastende Aufgabe078, 079, 094, 400, 471, 915
Prototyp-belastende Funktion078, 079, 094, 400, 471, 915
Prototyp-belastende Verbindung von Anrufen078, 079, 094, 400, 471, 915
Reflektiertes Cross-Site Scripting079, 116
Einspeisung regulärer Ausdrücke730, 400
Ersetzen eines Substrings durch sich selbst116
Ressourcenerschöpfung400, 770
Erschöpfung der Ressourcen durch tiefes Durchlaufen von Objekten400
Einspeisen von Befehlen in zweiter Reihenfolge078, 088
Vertrauliche Daten, die aus GET-Anforderung gelesen werden598
Vertraulicher Server-Cookie, der für den Client verfügbar gemacht wird1004
Serverabsturz248, 730
Serverseitige Anforderungsfälschung918
Serverseitige URL-Umleitung601
Shell-Befehl, der aus Umgebungswerten erstellt wurde078, 088
Speichern vertraulicher Informationen im Buildartefakt312, 315, 359
Gespeichertes Cross-Site-Scripting079, 116
Einspeisung eines Vorlagenobjekts073, 094
Typverwechslung durch Parametermanipulation843
Nicht gesteuerte Befehlszeile078, 088
Nicht kontrollierte Daten, die im Pfadausdruck verwendet werden022, 023, 036, 073, 099
Unnötige Verwendung von cat Prozess078
Unsicherer dynamischer Methodenzugriff094
Unsichere Erweiterung des selbstschließenden HTML-Tags079, 116
Unsicherer HTML-Code, der aus Bibliothekseingaben erstellt wurde079, 116
Unsicheres jQuery-Plug-In079, 116
Unsicherer Shell-Befehl, der aus Bibliothekseingaben erstellt wurde078, 088
Nicht validierter dynamischer Methodenaufruf754
Verwendung eines fehlerhaften oder schwachen Kryptografiealgorithmus327, 328
Verwendung eines schwachen Kryptografieschlüssels326
Verwenden einer extern gesteuerten Formatzeichenkette134
Verwendung des Passwort-Hashs mit unzureichendem Berechnungsaufwand916
Nutzloses Escape-Zeichen mit regulärem Ausdruck020
Erweiterung der externen XML-Entität611, 827
Erweiterung der internen XML-Entität776, 400
XPath-Einspeisung643
Clientseitige Anforderungsfälschung918
Leeres Passwort in Konfigurationsdatei258, 862
Fehler beim Abbrechen der Sitzung384
Dateidaten in ausgehender Netzwerkanforderung200
Hartcodierte Daten, die als Code interpretiert werden506
Indirekte unkontrollierte Befehlszeile078, 088
Unsichere temporäre Datei377, 378
Protokolleinspeisung117
Fehlende Ursprungsüberprüfung im postMessage Handler020, 940
Fehlender Anchor des regulären Ausdrucks020
In Datei geschriebene Netzwerkdaten912, 434
Passwort in Konfigurationsdatei256, 260, 313, 522
Mögliche Dateisystem-Racebedingung367
Einspeisung einer Remote-Eigenschaft250, 400
Vertrauliches Cookie ohne SameSite-Einschränkungen1275
Unsicherer Code, der aus Bibliothekseingaben erstellt wurde094, 079, 116
Benutzergesteuerte Überbrückung der Sicherheitsprüfung807, 290