Skip to main content

Запросы C# для анализа CodeQL

Изучите запросы, которые CodeQL используются для анализа кода, написанного на C# при выборе default или наборе security-extended запросов.

Кто может использовать эту функцию?

Code scanning доступен для репозиториев, принадлежащих организации, в GitHub Enterprise Server. Для этой функции требуется лицензия на GitHub Advanced Security. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

CodeQL содержит множество запросов для анализа кода C#. Все запросы в наборе default запросов выполняются по умолчанию. Если вы решили использовать security-extended набор запросов, выполняются дополнительные запросы. Дополнительные сведения см. в разделе Наборы запросов CodeQL.

Встроенные запросы для анализа C#

В этой таблице перечислены запросы, доступные в последнем выпуске действия CodeQL и CodeQL CLI. Дополнительные сведения см. в разделе CodeQL журналов изменений на сайте документации CodeQL документации.

Примечание. Первоначальный выпуск GitHub Enterprise Server 3.12 включал действие CodeQL и CodeQL CLI 2.15.5, которые могут не включать все эти запросы. Администратор сайта может обновить версию CodeQL до более новой версии. Дополнительные сведения см. в разделе Настройка сканирования кода для устройства.

Имя запросаСвязанные CWEsПо умолчанию.РасширенноеАвтофикс
Атрибут "requireSSL" не имеет значения true319, 614
Произвольный доступ к файлам во время извлечения архива (Zip Slip)022
ASP.NET файл конфигурации позволяет просматривать каталоги548
Внедрение пути сборки114
Очистка текстового хранилища конфиденциальной информации312, 315, 359
Безопасность файлов cookie: чрезмерно широкий домен287
Безопасность файлов cookie: чрезмерно широкий путь287
Безопасность файлов cookie: постоянный файл cookie539
Создание двоичного файла отладки ASP.NET может показать конфиденциальную информацию11, 532
Межстраничное скриптирование079, 116
Отказ в обслуживании от сравнения входных данных пользователей с дорогостоящим regex1333, 730, 400
Десериализация ненадежных данных502
Десериализированный делегат502
Шифрование с помощью ECB327
Раскрытие частной информации359
Отказ от сеанса384
Проверка заголовка отключена113
Неправильное управление созданием кода094, 095, 096
Раскрытие информации с помощью исключения209, 497
Раскрытие информации через передаваемые данные201
Небезопасная случайность338
Запрос LDAP, созданный из управляемых пользователем источников090
Записи журнала, созданные из ввода пользователем117
Отсутствует проверка токена для нескольких сайтов352
Отсутствует глобальный обработчик ошибок12, 248
Отсутствует заголовок X-Frame-Options HTTP451, 829
Проверка запроса страницы отключена16
Внедрение регулярных выражений730, 400
Внедрение ресурсов099
SQL-запрос, созданный из управляемых пользователем источников089
Неконтролируемая командная строка078, 088
Неконтролируемые данные, используемые в выражении пути022, 023, 036, 073, 099
Неконтролируемая строка формата134
Ненадежный XML считывается небезопасно611, 827, 776
Арифметический арифметический арифметический указатель на неоценимое значение119, 120, 122, 788
Перенаправление URL-адресов из удаленного источника601
Управляемый пользователем обход конфиденциального метода807, 247, 350
Слабое шифрование327
Слабое шифрование: неадекватное заполнение RSA327, 780
Слабое шифрование: недостаточный размер ключа326
Внедрение XML091
Внедрение XPath643
Пустой пароль в файле конфигурации258, 862
Жестко закодированные строка подключения с учетными данными259, 321, 798
Жестко закодированные учетные данные259, 321, 798
Небезопасная ссылка на прямые объекты639
Небезопасное подключение SQL327
Отсутствует управление доступом на уровне функций285, 284, 862
Отсутствует проверка XML112
Пароль в файле конфигурации13, 256, 313
Обход проверки сериализации20
Запись небезопасного потока объекта ICryptoTransform362
Небезопасное использование статического поля ICryptoTransform362
Использование отправки файлов434
Тень значений348
Тень значений: переменная сервера348