Запросы JavaScript и TypeScript для анализа CodeQL

Имя запроса	Связанные CWEs	По умолчанию.	Расширенное	Copilot Autofix
Произвольный доступ к файлам во время извлечения архива (Zip Slip)	022
Неправильная фильтрация HTML	020, 080, 116, 184, 185, 186
Путь по промежуточному по промежуточному по промежуточному слоям с учетом регистра	178
Очистка текстового хранилища конфиденциальной информации	312, 315, 359
Очистка передачи текста конфиденциального файла cookie	614, 311, 312, 319
Ведение журнала конфиденциальной информации с четким текстом	312, 359, 532
Межстраничное скриптирование на стороне клиента	079, 116
Перенаправление URL-адреса на стороне клиента	079, 116, 601
Внедрение кода	094, 095, 079, 116
Неправильное настройка CORS для передачи учетных данных	346, 639, 942
Создание предвзятых случайных чисел из криптографически безопасного источника	327
Взаимодействие между окнами с неограниченным источником целевого объекта	201, 359
Запрос базы данных, созданный из управляемых пользователем источников	089, 090, 943
Скачивание зависимостей с помощью незашифрованного канала связи	300, 319, 494, 829
Десериализация управляемых пользователем данных	502
Отключение проверки сертификата	295, 297
Отключение электронной веб-безопасности	79
Отключение SCE	116
Текст DOM повторно интерпретируется как HTML	079, 116
Двойная компиляция	1176
Двойное экранирование или удаление	116, 020
Скачивание конфиденциального файла через небезопасное подключение	829
Включение electron allowRunningInsecureContent	494
Текст исключения повторно интерпретируется как HTML	079, 116
Экспозиция частных файлов	200, 219, 548
Внедрение выражений в Actions	094
Жестко закодированные учетные данные	259, 321, 798
Отравление заголовков узла в создании электронной почты	640
Неправильное очистка кода	094, 079, 116
Включение функций из ненадежного источника	830
Неполная очистка атрибута HTML	079, 116, 020
Неполная очистка нескольких символов	020, 080, 116
Неполное регулярное выражение для имен узлов	020
Неполное экранирование строк или кодировка	020, 080, 116
Неполная проверка схемы URL-адресов	020, 184
Неполная очистка подстроки URL-адресов	020
Неверный суффикс проверки	020
Неэффективное регулярное выражение	1333, 730, 400
Раскрытие информации с помощью трассировки стека	209, 497
Небезопасная конфигурация ПО промежуточного слоя безопасности шлема	693, 1021
Небезопасная случайность	338
Небезопасный список разрешений URL-адреса	183, 625
Проверка секрета или открытого ключа JWT отсутствует	347
Внедрение привязки цикла	834, 730
Отсутствует ПО промежуточного слоя CSRF	352
Отсутствие ограничения скорости	770, 307, 400
Чрезмерно допустимый диапазон регулярных выражений	020
Многономиальное регулярное выражение, используемое для неконтролируемых данных	1333, 730, 400
Назначение загрязняющих прототипов	078, 079, 094, 400, 471, 915
Функция, загрязняющая прототип	078, 079, 094, 400, 471, 915
Вызов слияния, загрязняющий прототип	078, 079, 094, 400, 471, 915
Отражение межстранитовых сценариев	079, 116
Внедрение регулярных выражений	730, 400
Замена подстроки с самой собой	116
Исчерпание ресурсов	400, 770
Исчерпание ресурсов из глубокого обхода объектов	400
Внедрение второй команды заказа	078, 088
Чтение конфиденциальных данных из запроса GET	598
Конфиденциальный файл cookie сервера, предоставляемый клиенту	1004
Сбой сервера	248, 730
Подделка запроса на стороне сервера	918
Перенаправление URL-адреса на стороне сервера	601
Команда оболочки, созданная из значений среды	078, 088
Хранение конфиденциальной информации в артефакте сборки	312, 315, 359
Хранение конфиденциальной информации в артефакте GitHub Actions	312, 315, 359
Хранение сценариев между сайтами	079, 116
Внедрение объекта шаблона	073, 094
Путаница типов путем изменения параметров	843
Неконтролируемая командная строка	078, 088
Неконтролируемые данные, используемые в выражении пути	022, 023, 036, 073, 099
Ненужное cat использование процесса	078
Небезопасный динамический доступ к методу	094
Небезопасное расширение самозаверяющего HTML-тега	079, 116
Небезопасный HTML-код, созданный из входных данных библиотеки	079, 116
Небезопасный подключаемый модуль jQuery	079, 116
Небезопасная команда оболочки, созданная из входных данных библиотеки	078, 088
Недоверенный домен, используемый в скрипте или другом содержимом	830
Неоцененный вызов динамического метода	754
Использование сломанного или слабого алгоритма шифрования	327, 328
Использование слабого криптографического ключа	326
Использование строки форматирования с внешним контролем	134
Использование хэша паролей с недостаточной вычислительной усилием	916
Бесполезное экранирование символов регулярного выражения	020
Расширение внешней сущности XML	611, 827
Расширение внутренних сущностей XML	776, 400
Внедрение XPath	643
Заготовка на стороне клиента	918
Пустой пароль в файле конфигурации	258, 862
Отказ от сеанса	384
Файловые данные в исходящем сетевом запросе	200
Жестко закодированные данные, интерпретированные как код	506
Непрямая неконтролируемая командная строка	078, 088
Небезопасный временный файл	377, 378
Внедрение журналов	117
Отсутствует проверка происхождения в postMessage обработчике	020, 940
Отсутствует привязка регулярного выражения	020
Сетевые данные, записанные в файл	912, 434
Пароль в файле конфигурации	256, 260, 313, 522
Потенциальное состояние гонки файловой системы	367
Внедрение удаленных свойств	250, 400
Конфиденциальный файл cookie без ограничений SameSite	1275
Небезопасный код, созданный из входных данных библиотеки	094, 079, 116
Контролируемый пользователем обход проверки безопасности	807, 290