Consultas de C# para el análisis de CodeQL

Explore las consultas que CodeQL usa para analizar el código escrito en C# al seleccionar default o el conjunto de consultas security-extended.

¿Quién puede utilizar esta característica?

Code scanning está disponible para todos los repositorios públicos en GitHub.com. Code scanning también está disponible para los repositorios privados que pertenecen a las organizaciones que usan GitHub Enterprise Cloud y que tienen una licencia de GitHub Advanced Security. Para obtener más información, vea «Acerca de GitHub Advanced Security».

CodeQL incluye muchas consultas para analizar código de C#. Todas las consultas del conjunto de consultas default se ejecutan de manera predeterminada. Si decide usar el conjunto de consultas security-extended, se ejecutan consultas adicionales. Para obtener más información, vea «Conjuntos de consultas codeQL».

Consultas integradas para el análisis de C#

En esta tabla se enumeran las consultas disponibles con la versión más reciente de la acción CodeQL y CodeQL CLI. Para obtener más información, consulte "Registros de cambios CodeQL" en el sitio de documentación de CodeQL.

Nota: La corrección automática de GitHub para code scanning está en versión beta. La funcionalidad y la documentación están sujetas a cambios. Durante esta fase, la función está restringida a las alertas de JavaScript, TypeScript y Python, así como las alertas de Java identificadas por CodeQL. Si tiene una cuenta de empresa y usa GitHub Advanced Security, la empresa tiene acceso a la versión beta.

Nombre de la consultaCWE relacionadosValor predeterminadoAmpliadoAutocorrección
El atributo 'requireSSL' no está establecido en true319, 614
Acceso arbitrario a archivos durante la extracción de archivos ("Zip Slip")022
El archivo de configuración ASP.NET habilita el examen de directorios548
Inserción de ruta de acceso de ensamblado114
Almacenamiento de texto no cifrado de información confidencial312, 315, 359
Seguridad de cookies: dominio demasiado amplio287
Seguridad de cookies: ruta de acceso demasiado amplia287
Seguridad de cookies: cookie persistente539
La creación de un binario de depuración de ASP.NET puede revelar información confidencial11, 532
Scripting entre sitios079, 116
Denegación de servicio de comparación de la entrada de usuario frente a regex costosas1333, 730, 400
Deserialización de datos que no son de confianza502
Delegado deserializado502
Utilización de ECB en el cifrado327
Exposición de información privada359
Error al cancelar la sesión384
Comprobación de encabezados deshabilitada113
Control de la generación de código incorrecto094, 095, 096
Exposición de la información a través de una excepción209, 497
Exposición de la información a través de datos transmitidos201
Aleatoriedad insegura338
Consulta LDPA creada a partir de orígenes controlados por el usuario090
Entradas de registro creadas a partir de la entrada de usuario117
Falta de la validación de tokens de falsificación de solicitud entre sitios352
Falta el controlador de errores globales12, 248
Falta el encabezado HTTP X-Frame-Options451, 829
Inserción de expresiones regulares730, 400
Inserción de recursos099
Consulta SQL creada a partir de orígenes controlados por el usuario089
Línea de comandos no controlada078, 088
Datos usados en la expresión de ruta de acceso no controlados022, 023, 036, 073, 099
Cadena de formato no controlada134
XML no de confianza que se lee de forma no segura611, 827, 776
Aritmética de puntero local no validada119, 120, 122, 788
Redireccionamiento de direcciones URL desde origen remoto601
Omisión del método confidencial controlada por el usuario807, 247, 350
Cifrado débil327
Cifrado débil: relleno RSA inadecuado327, 780
Cifrado débil: tamaño de clave insuficiente326
Inserción de XML091
Inserción de XPath643
Contraseña vacía en el archivo de configuración258, 862
Cadena de conexión codificados de forma rígida con credenciales259, 321, 798
Credenciales codificadas de forma rígida259, 321, 798
Referencia de objeto directo no seguro639
Conexión SQL no segura327
Falta el control de acceso de nivel de función285, 284, 862
Falta validación XML112
Contraseña en el archivo de configuración13, 256, 313
Omisión de comprobación de deserialización20
Captura de subprocesos de un objeto ICryptoTransform no segura362
Utilización de subprocesos de un campo ICryptoTransform estático no seguro362
Utilización de cargas de archivos434