CodeQL enthält viele Abfragen zum Analysieren von Java- oder Kotlin-Code. Alle Abfragen in der default Abfragesammlung werden standardmäßig ausgeführt. Wenn Sie sich für die Verwendung der security-extended Abfragesammlung entscheiden, werden zusätzliche Abfragen ausgeführt. Weitere Informationen finden Sie unter CodeQL-Abfragesammlungen.
Integrierte Abfragen zur Java- und Kotlin-Analyse
In dieser Tabelle sind die Abfragen aufgeführt, die mit der neuesten Version der Aktion CodeQL und CodeQL CLI verfügbar sind. Weitere Informationen finden Sie unter CodeQL-Änderungsprotokollen auf der Dokumentationsseite zu CodeQL.
| Abfragename | Verwandte CWEs | Standard | Erweitert | Copilot Autofix |
|---|
[
`TrustManager`, die alle Zertifikate akzeptiert](https://codeql.github.com/codeql-query-help/java/java-insecure-trustmanager/) | 295 | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Included" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Included" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Included" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> |
|
Android WebView, das alle Zertifikate akzeptiert | 295 | | | |
|
Android-Attribut zum Debuggen aktiviert | 489 | | | |
|
Android-Fragmenteinspeisung | 470 | | | |
|
Android-Fragmenteinspeisung in PreferenceActivity | 470 | | | |
|
Android Absicht-Umleitung | 926, 940 | | | |
|
Android Webview-Debuggen aktiviert | 489 | | | |
|
Beliebiger Dateizugriff während der Archivextraktion („Zip Slip“) | 022 | | | |
|
Speicherung von Klartext vertraulicher Informationen in Cookie | 315 | | | |
|
Cross-Site Scripting | 079 | | | |
|
Abhängig von JCenter/Bintray als Artefakt-Repository | 1104 | | | |
|
Deserialisierung benutzergesteuerter Daten | 502 | | | |
|
Erkennen der Verwundbarkeit des JHipster-Generators CVE-2019-16303 | 338 | | | |
|
Deaktivierte Überprüfung des Netty-HTTP-Headers | 093, 113 | | | |
|
Deaktivierter Feder-CSRF-Schutz | 352 | | | |
|
Verfügbar gemachte Spring Boot-Aktoren | 200 | | | |
|
Verfügbar gemachte Spring Boot-Aktuatoren in der Konfigurationsdatei | 200 | | | |
|
Einspeisung der Ausdruckssprache (JEXL) | 094 | | | |
|
Einspeisung der Ausdruckssprache (MVEL) | 094 | | | |
|
Einspeisung der Ausdruckssprache (Spring) | 094 | | | |
|
Fehler bei der Verwendung der HTTPS- oder SFTP-URL im Maven-Artefakt-Upload/-Download | 300, 319, 494, 829 | | | |
|
Fehler bei der Verwendung sicherer Cookies | 614 | | | |
|
Einspeisung der Groovy Language | 094 | | | |
|
HTTP Response Splitting | 113 | | | |
|
Implizite einschränkende Konvertierung in zusammengesetzter Aufgabe | 190, 192, 197, 681 | | | |
|
Implizit exportierte Android-Komponente | 926 | | | |
|
Falsche Überprüfung der Absicht durch Sendungsempfänger | 925 | | | |
|
Ineffizienter regulärer Ausdruck | 1333, 730, 400 | | | |
|
Gefährdung von Informationen über eine Stapelüberwachung | 209, 497 | | | |
|
Offenlegung von Informationen durch eine Fehlermeldung | 209 | | | |
|
Unsichere Bean-Überprüfung | 094 | | | |
|
Unsichere LDAP-Authentifizierung | 522, 319 | | | |
|
Unsichere lokale Authentifizierung | 287 | | | |
|
Unsichere Zufallselemente | 330, 338 | | | |
|
Manipulation von Absichts-URI-Berechtigungen | 266, 926 | | | |
|
JNDI-Verweis mit benutzerdefiniertem Namen | 074 | | | |
|
LDAP-Abfrage, die aus benutzerdefinierten Quellen erstellt wurde | 090 | | | |
|
Fehlende JWT-Signaturprüfung | 347 | | | |
|
OGNL Ausdruckssprachanweisung mit benutzergesteuerter Eingabe | 917 | | | |
|
Übermäßig zulässiger regulärer Ausdrucksbereich | 020 | | | |
|
Teilweise Pfadüberwindungs-Schwachstelle von Remote | 023 | | | |
|
Polynomischer regulärer Ausdruck, der für unkontrollierte Daten verwendet wird | 1333, 730, 400 | | | |
|
Abfrage, die aus benutzerdefinierten Quellen erstellt wurde | 089, 564 | | | |
|
Lesen aus einer schreibbaren Weltdatei | 732 | | | |
|
Einspeisung regulärer Ausdrücke | 730, 400 | | | |
|
Auflösen der externen XML-Entität in benutzergesteuerten Daten | 611, 776, 827 | | | |
|
Vertrauliche Cookies ohne den HttpOnly-Antwortheadersatz | 1004 | | | |
|
Serverseitige Anforderungsfälschung | 918 | | | |
|
Serverseitige Vorlageneinspeisung | 1336, 094 | | | |
|
Nicht gesteuerte Befehlszeile | 078, 088 | | | |
|
Nicht kontrollierte Daten, die in der Inhaltsauflösung verwendet werden | 441, 610 | | | |
|
Nicht kontrollierte Daten, die im Pfadausdruck verwendet werden | 022, 023, 036, 073 | | | |
|
Unsichere Hostnamenprüfung | 297 | | | |
|
URL-Weiterleitung aus einer Remotequelle | 552 | | | |
|
URL-Umleitung von Remote-Quelle | 601 | | | |
|
Verwendung eines fehlerhaften oder riskanten Kryptografiealgorithmus | 327, 328 | | | |
|
Verwendung eines Kryptografiealgorithmus mit unzureichender Schlüsselgröße | 326 | | | |
|
Verwendung eines vorhersehbaren Seeds in einer sicheren Zufallszahlengenerierung | 335, 337 | | | |
|
Verwenden einer extern gesteuerten Formatzeichenkette | 134 | | | |
|
Verwendung impliziter PendingIntents | 927 | | | |
|
Verwendung des RSA-Algorithmus ohne OAEP | 780 | | | |
|
Benutzergesteuerte Daten in numerischer Umwandlung | 197, 681 | | | |
|
Benutzergesteuerte Daten, die bei der Berechtigungsprüfung verwendet werden | 807, 290 | | | |
|
Verwendung eines statischen Initialisierungsvektors für die Verschlüsselung | 329, 1204 | | | |
|
XPath-Einspeisung | 643 | | | |
|
XSLT-Transformation mit benutzerdefiniertem Stylesheet | 074 | | | |
|
Zugriff auf Java-Objektmethoden über JavaScript-Gefährdung | 079 | | | |
|
Android APK-Installation | 094 | | | |
|
Android fehlendes Anheften von Zertifikaten | 295 | | | |
|
Android vertrauliche Zwischenspeicherung für Tastatur | 524 | | | |
|
Android WebSettings Dateizugriff | 200 | | | |
|
JavaScript-Einstellungen für Android WebView | 079 | | | |
|
Android WebView-Einstellungen aktivieren den Zugriff auf Inhaltslinks | 200 | | | |
|
Anwendungssicherung zulässig | 312 | | | |
|
Erstellen einer Befehlszeile mit Zeichenketten-Verkettung | 078, 088 | | | |
|
Erstellen eines Befehls mit einer injizierten Umgebungsvariable | 078, 088, 454 | | | |
|
Speichern von Klartext vertraulicher Informationen im Android Dateisystem | 312 | | | |
|
Speicherung von Klartext vertraulicher Informationen mithilfe der Klasse „Properties“ | 313 | | | |
|
Speichern von Klartext vertraulicher Informationen mit SharedPreferences auf Android | 312 | | | |
|
Speicherung von Klartext vertraulicher Informationen mithilfe einer lokalen Datenbank auf Android | 312 | | | |
|
Vergleich des schmalen Typs mit breitem Typ in Loop-Bedingung | 190, 197 | | | |
|
Ausführen eines Befehls mit einem relativen Pfad | 078, 088 | | | |
|
Gefährdung vertraulicher Informationen über Benachrichtigungen | 200 | | | |
|
Gefährdung vertraulicher Informationen über Benutzeroberflächentextansichten | 200 | | | |
|
HTTP-Anforderungstyp ohne Schutz vor CSRF | 352 | | | |
|
Falsche Validierung des vom Benutzer bereitgestellten Array-Index | 129 | | | |
|
Falsche Validierung der vom Benutzer bereitgestellten Größe, die für die Array-Erstellung verwendet wird | 129 | | | |
|
Unsichere Standardauthentifizierung | 522, 319 | | | |
|
Unsichere JavaMail SSL-Konfiguration | 297 | | | |
|
Unsicher generierte Schlüssel für die lokale Authentifizierung | 287 | | | |
|
Einfügen vertraulicher Informationen in Protokolldateien | 532 | | | |
|
Verlust vertraulicher Informationen über einen ResultReceiver | 927 | | | |
|
Verlust vertraulicher Informationen über eine implizite Absicht | 927 | | | |
|
Veröffentlichung lokaler Informationen in einem temporären Verzeichnis | 200, 732 | | | |
|
Protokolleinspeisung | 117 | | | |
|
Loop mit nicht erreichbarer Ausgangsbedingung | 835 | | | |
|
Fehlende Lese- oder Schreibberechtigung in einem Inhaltsanbieter | 926 | | | |
|
Teilweise Pfadüberwindungs-Schwachstelle | 023 | | | |
|
Abfrage, die durch Verkettung mit einer möglicherweise nicht vertrauenswürdigen Zeichenkette erstellt wurde | 089, 564 | | | |
|
Racebedingung in Socket-Authentifizierung | 421 | | | |
|
Time-of-Check Time-of-Use Racebedingung | 367 | | | |
|
Verletzung der Vertrauensgrenze | 501 | | | |
|
Nicht kontrollierte Daten im arithmetischen Ausdruck | 190, 191 | | | |
|
Nicht freigegebene Sperre | 764, 833 | | | |
|
Unsicheres Zertifikatsvertrauen | 273 | | | |
|
Unsichere Ressourcenabrufe in Android WebView | 749, 079 | | | |
|
Verwendung eines potenziell fehlerhaften oder riskanten Kryptografiealgorithmus | 327, 328 | | | |
|
Verwendung einer potenziell gefährlichen Funktion | 676 | | | |
|
Benutzergesteuerte Überbrückung vertraulicher Methoden | 807, 290 | | | |
|
Benutzergesteuerte Daten im arithmetischen Ausdruck | 190, 191 | | | |