Skip to main content

CodeQL 분석을 위한 C# 쿼리

default 또는 security-extended 쿼리 도구 모음을 선택할 때 CodeQL에서 C#으로 작성된 코드를 분석하는 데 사용하는 쿼리를 살펴봅니다.

누가 이 기능을 사용할 수 있는 있나요?

Code scanning는 GitHub Enterprise Server의 조직 소유 리포지토리에서 사용할 수 있습니다. 이 기능을 사용하려면 GitHub Advanced Security에 대한 라이선스가 필요합니다. 자세한 내용은 "GitHub Advanced Security 정보.

CodeQL에는 C# 코드 분석을 위한 많은 쿼리가 포함되어 있습니다. default 쿼리 도구 모음의 모든 쿼리는 기본적으로 실행됩니다. security-extended 쿼리 도구 모음을 사용하도록 선택하면 추가 쿼리가 실행됩니다. 자세한 내용은 "CodeQL 쿼리 도구 모음"을(를) 참조하세요.

C# 분석을 위한 기본 제공 쿼리

이 표에는 CodeQL 작업과 CodeQL CLI의 최신 릴리스에서 사용할 수 있는 쿼리가 나열되어 있습니다. 자세한 내용은 CodeQL 설명서 사이트에서 CodeQL 변경 로그를 참조하세요.

참고: GitHub Enterprise Server 3.10의 초기 릴리스에는 CodeQL 작업과 CodeQL CLI 2.13.5이(가) 포함되었는데, 여기에는 이러한 쿼리가 모두 포함되지 않을 수도 있습니다. 사이트 관리자가 CodeQL 버전을 최신 릴리스로 업데이트할 수 있습니다. 자세한 내용은 "어플라이언스에 대한 코드 검사 구성"을(를) 참조하세요.

쿼리 이름관련 CWE기본값확장자동 수정
'requireSSL' 특성이 true로 설정되지 않음319, 614
보관 파일의 압축을 푸는 중 임의 파일 액세스("Zip Slip")022
ASP.NET 구성 파일에서 디렉터리 검색 사용 설정548
어셈블리 경로 삽입114
중요한 정보의 일반 텍스트 저장312, 315, 359
쿠키 보안: 지나치게 광범위한 도메인287
쿠키 보안: 지나치게 광범위한 경로287
쿠키 보안: 영구적 쿠키539
ASP.NET 디버그 이진 파일을 만들면 중요한 정보가 노출될 수 있음11, 532
교차 사이트 스크립팅079, 116
고가의 정규식과 사용자 입력 비교에서 서비스 거부1333, 730, 400
신뢰할 수 없는 데이터의 역직렬화502
역직렬화된 대리인502
ECB를 사용한 암호화327
개인 정보 노출359
세션 중단 실패384
헤더 검사 사용 안 함113
부적절한 코드 생성 제어094, 095, 096
예외를 통한 정보 노출209, 497
전송된 데이터를 통한 정보 노출201
보안에 취약한 임의성338
사용자 제어 원본에서 빌드된 LDAP 쿼리090
사용자 입력으로 만든 로그 항목117
교차 사이트 요청 위조 토큰 유효성 검사 누락352
전역 오류 처리기 누락12, 248
X-Frame-Options HTTP 헤더 누락451, 829
페이지 요청 유효성 검사를 사용할 수 없음16
정규식 삽입730, 400
리소스 삽입099
사용자 제어 원본에서 빌드된 SQL 쿼리089
제어되지 않은 명령줄078, 088
경로 식에 제어되지 않은 데이터 사용됨022, 023, 036, 073, 099
제어되지 않은 형식 문자열134
신뢰할 수 없는 XML이 안전하지 않게 읽힘611, 827, 776
유효성 검사가 수행되지 않은 로컬 포인터 산술 연산119, 120, 122, 788
원격 원본에서 URL 리디렉션601
중요한 메서드의 사용자 제어 우회807, 247, 350
약한 암호화327
약한 암호화: 부적절한 RSA 패딩327, 780
약한 암호화: 키 크기 부족326
XML 삽입091
XPath 삽입643
구성 파일의 빈 비밀번호258, 862
자격 증명을 사용하여 하드 코드된 연결 문자열259, 321, 798
하드 코드된 자격 증명259, 321, 798
보안에 취약한 직접 개체 참조639
보안에 취약한 SQL 연결327
함수 수준 액세스 제어 누락285, 284, 862
XML 유효성 검사 누락112
구성 파일의 비밀번호13, 256, 313
Serialization 검사 우회20
ICryptoTransform 개체의 스레드로부터 안전하지 않은 캡처362
정적 ICryptoTransform 필드의 스레드로부터 안전하지 않은 사용362
파일 업로드 사용434
값 섀도잉348
값 섀도잉: 서버 변수348