Requêtes C# pour l’analyse CodeQL

Explorez les requêtes que CodeQL utilise pour analyser le code écrit en C# et ce lorsque vous sélectionnez la suite de requêtes default ou security-extended.

Qui peut utiliser cette fonctionnalité ?

Code scanning est disponible pour tous les dépôts publics sur GitHub.com. Code scanning est également disponible pour des dépôts privés appartenant à des organisations qui utilisent GitHub Enterprise Cloud et ont une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de GitHub Advanced Security ».

CodeQL inclut de nombreuses requêtes pour l’analyse du code C#. Toutes les requêtes de la suite de requêtes default sont exécutées par défaut. Si vous choisissez d’utiliser la suite de requêtes security-extended, des requêtes supplémentaires sont exécutées. Pour plus d’informations, consultez « Suites de requêtes CodeQL ».

Requêtes intégrées pour l’analyse C#

Ce tableau répertorie les requêtes disponibles avec la dernière version de l’action CodeQL et CodeQL CLI. Pour plus d’informations, consultez les journaux des modifications CodeQL dans le site de documentation de CodeQL.

Remarque : la correction automatique de GitHub pour code scanning est en phase bêta. Les fonctionnalités et la documentation sont sujettes à modification. Au cours de cette phase, la fonctionnalité est limitée aux alertes JavaScript, TypeScript, Python et Java identifiées par CodeQL. Si vous avez un compte d’entreprise et que vous utilisez GitHub Advanced Security, votre entreprise a accès à la version bêta.

Nom de la requêteCWE connexesPar défautÉtenduCorrection automatique
L’attribut « requireSSL » n’est pas défini sur true319, 614
Accès arbitraire aux fichiers lors de l’extraction d’archives (« Zip Slip »)022
Le fichier de configuration ASP.NET active l’exploration des répertoires548
Injection de chemin d’accès d’assembleur114
Effacer le stockage de texte des informations sensibles312, 315, 359
Sécurité des cookies : domaine trop large287
Sécurité des cookies : chemin d’accès trop large287
Sécurité des cookies : cookie persistant539
La création d’un fichier binaire de débogage ASP.NET peut révéler des informations sensibles11, 532
Scripting inter-site079, 116
Refus de service de comparaison de l’entrée utilisateur par rapport à une regex coûteuse1 333, 730, 400
Désérialisation de données non approuvées502
Délégué désérialisé502
Chiffrement à l'aide d'ECB327
Exposition des informations privées359
Échec de l’abandon de la session384
Vérification de l’en-tête désactivée113
Contrôle incorrect de la génération de code094, 095, 096
Exposition des informations par le biais d’une exception209, 497
Exposition des informations par le biais de données transmises201
Caractère aléatoire non sécurisé338
Requête LDAP créée à partir de sources contrôlées par l’utilisateur090
Entrées de journaux d’activité créées à partir d’une entrée utilisateur117
Validation de jeton de falsification de requête intersites manquante352
Gestionnaire d’erreurs global manquant12, 248
En-tête HTTP X-Frame-Options manquante451, 829
Injection d’expressions régulières730, 400
Injection de ressources099
Requête SQL créée à partir de sources contrôlées par l’utilisateur089
Ligne de commande non contrôlée078, 088
Données non contrôlées utilisées dans l'expression de chemin d'accès022, 023, 036, 073, 099
Chaîne de format non contrôlée134
Le code XML non approuvé est en lecture non sécurisée611, 827, 776
Arithmétique du pointeur local non validé119, 120, 122, 788
Redirection d’URL à partir d’une source distante601
Contournement contrôlé par l’utilisateur de la méthode sensible807, 247, 350
Chiffrement faible327
Chiffrement faible : remplissage RSA inadéquat327, 780
Chiffrement faible : taille de clé insuffisante326
Injection de code XML091
Injection XPath643
Mot de passe vide dans le fichier de configuration258, 862
Chaîne de connexion codée en dur avec des identifiants259, 321, 798
Identifiants codés en dur259, 321, 798
Informations de référence sur les objets directs non sécurisées639
Connexion SQL non sécurisée327
Contrôle d’accès au niveau de la fonction manquant285, 284, 862
Validation XML manquante112
Mot de passe dans le fichier de configuration13, 256, 313
Contournement de la vérification de sérialisation20
Capture non sécurisée de thread d’un objet ICryptoTransform362
Utilisation non sécurisée de thread d’un champ ICryptoTransform statique362
Utilisation du chargement de fichiers434