Skip to main content

Consultas C# para análise CodeQL

Explore as consultas que o CodeQL usa para analisar o código escrito em C# quando você seleciona o conjunto de consultas default ou security-extended.

Quem pode usar esse recurso?

A Code scanning está disponível para todos os repositórios públicos do GitHub.com. Para usar code scanning em um repositório privado pertencente a uma organização, você precisa ter um licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre a Segurança Avançada do GitHub".

O CodeQL inclui muitas consultas para analisar o código C#. Todas as consultas no conjunto de consultas default são executadas por padrão. Se você optar por usar o conjunto de consultas security-extended, consultas adicionais serão executadas. Para obter mais informações, confira "Conjuntos de consultas CodeQL".

Consultas internas para análise em C#

Esta tabela lista as consultas disponíveis com a versão mais recente da ação CodeQL e CodeQL CLI. Para obter mais informações, consulte Logs de alterações do CodeQL no site de documentação do CodeQL .

Note

A correção automática do GitHub para o code scanning está em versão beta. A funcionalidade e a documentação estão sujeitas a alterações. Durante essa fase, o recurso estará restrito a alertas de C#, C/C++, Go, Java/Kotlin, JavaScript/TypeScript, Python e Ruby identificados por CodeQL para repositórios privados e internos. Se você tiver uma conta empresarial e usar GitHub Advanced Security, sua empresa terá acesso à versão beta.

Nome da consultaCWEs relacionadosPadrãoEstendidoCorreção automática
O atributo 'requireSSL' não está definido como true319, 614
Acesso arbitrário a arquivos durante a extração de arquivos ("Zip Slip")022
O arquivo de configuração ASP.NET habilita a navegação no diretório548
Injeção de caminho de montagem114
Armazenamento de texto não criptografado de informações confidenciais312, 315, 359
Segurança de cookies: domínio excessivamente amplo287
Segurança de cookies: caminho excessivamente amplo287
Segurança de cookies: cookie persistente539
Criar um binário de depuração ASP.NET pode revelar informações confidenciais11, 532
Cross-site scripting079, 116
Negação de serviço por meio da comparação da entrada do usuário com o regex de despesa1333, 730, 400
Desserialização de dados não confiáveis502
Delegado desserializado502
Criptografia usando ECB327
Exposição de informações privadas359
Falha ao abandonar a sessão384
Verificação de cabeçalho desabilitada113
Controle inadequado de geração de código094, 095, 096
Exposição de informações por meio de uma exceção209, 497
Exposição de informações através de dados transmitidos201
Aleatoriedade não segura338
Consulta LDAP criada com base em fontes controladas pelo usuário090
Entradas de log criadas com base na entrada do usuário117
Validação de token de falsificação de solicitação entre sites ausente352
Manipulador de erros globais ausente12, 248
Cabeçalho HTTP X-Frame-Options ausente451, 829
A validação da solicitação de página está desabilitada16
Injeção de expressão regular730, 400
Injeção de recursos099
Consulta SQL criada com base em fontes controladas pelo usuário089
Linha de comando não controlada078, 088
Dados não controlados usados na expressão de caminho022, 023, 036, 073, 099
Cadeia de caracteres de formato não controlada134
XML não confiável é lido sem segurança611, 827, 776
Aritmética de ponteiro local não validada119, 120, 122, 788
Redirecionamento de URL da fonte remota601
Bypass controlado pelo usuário de método confidencial807, 247, 350
Criptografia fraca327
Criptografia fraca: preenchimento RSA inadequado327, 780
Criptografia fraca: tamanho de chave insuficiente326
Injeção de XML091
Injeção de XPath643
Senha vazia no arquivo de configuração258, 862
Cadeia de conexão codificada com credenciais259, 321, 798
Credenciais codificadas259, 321, 798
Referência de objeto direto não seguro639
Conexão SQL não segura327
Controle de acesso de nível de função ausente285, 284, 862
Validação XML ausente112
Senha no arquivo de configuração13, 256, 313
Bypass de verificação de serialização20
Captura insegura de thread de um objeto ICryptoTransform362
Uso não seguro de thread de um campo ICryptoTransform estático362
Uso de upload de arquivo434
Sombreamento de valores348
Sombreamento de valores: variável de servidor348