CodeQL 分析的 C# 查询

在选择 defaultsecurity-extended 查询套件时,浏览 CodeQL 用于分析 C# 编写的代码的查询。

谁可以使用此功能?

CodeQL 可用于以下仓库类型

CodeQL 包含许多用于分析 C# 代码的查询。default 查询套件中的所有查询默认都会运行。如果选择使用 security-extended 查询套件,则会运行额外的查询。有关更多信息,请参阅 CodeQL 查询套件

C# 分析的内置查询

此表列出了最新发布的 CodeQL action 和 CodeQL CLI 可用的查询。更多信息,请参阅 CodeQL 文档站点中的 CodeQL 更改日志

查询名称相关 CWE默认值扩展Copilot Autofix
未将 'requireSSL' 属性设为 true319, 614
归档解压期间任意文件访问("Zip Slip")022
ASP.NET 配置文件启用了目录浏览548
程序集路径注入114
明文存储敏感信息312, 315, 359
Cookie 的 'HttpOnly' 属性未设为 true1004
Cookie 的 'Secure' 属性未设为 true319, 614
Cookie 安全性:域名过宽287
Cookie 安全性:路径过宽287
Cookie 安全性:持久化 Cookie539
创建 ASP.NET 调试二进制文件可能泄露敏感信息011, 532
跨站脚本攻击 (XSS)079, 116
通过将用户输入与高开销正则表达式比较导致的拒绝服务1333, 730, 400
对不可信数据的反序列化502
已反序列化的委托502
使用 ECB 模式的加密327
泄露私人信息359
未能放弃会话384
已禁用头部检查113
代码生成控制不当094, 095, 096
通过异常泄露信息209, 497
通过传输数据泄露信息201
随机性不安全338
从用户可控来源构建的 LDAP 查询090
从用户输入创建的日志条目117
缺少跨站请求伪造 (CSRF) 令牌验证352
缺少全局错误处理程序012, 248
缺少 X-Frame-Options HTTP 头451, 829
页面请求验证已禁用016
正则表达式注入730, 400
资源注入099
基于受用户控制来源构建的 SQL 查询089
未受控的命令行078, 088
未受控数据用于路径表达式022, 023, 036, 073, 099
不受控制的格式字符串134
不可信的 XML 被不安全地读取611, 827, 776
未经验证的本地指针运算119, 120, 122, 788
来自远程来源的 URL 重定向601
用户可控的敏感方法绕过807, 247, 350
弱加密327
弱加密:RSA 填充不足327, 780
弱加密:密钥尺寸不足326
XML 注入091
XPath 注入643
配置文件中密码为空258, 862
不安全的直接对象引用639
不安全的 SQL 连接327
缺少函数级访问控制285, 284, 862
缺少 XML 验证112
序列化检查绕过020
线程不安全地捕获 ICryptoTransform 对象362
线程不安全地使用静态 ICryptoTransform 字段362
文件上传的使用434
值遮蔽348
值遮蔽:服务器变量348
© . This site is unofficial and not affiliated with GitHub, Inc.