CodeQL enthält viele Abfragen zum Analysieren von C#-Code. Alle Abfragen in der default Abfragesammlung werden standardmäßig ausgeführt. Wenn Sie sich für die Verwendung der security-extended Abfragesammlung entscheiden, werden zusätzliche Abfragen ausgeführt. Weitere Informationen finden Sie unter CodeQL-Abfragesammlungen.
Integrierte Abfragen für die C#-Analyse
In dieser Tabelle sind die Abfragen aufgeführt, die mit der neuesten Version der Aktion CodeQL und CodeQL CLI verfügbar sind. Weitere Informationen finden Sie unter CodeQL-Änderungsprotokollen auf der Dokumentationsseite zu CodeQL.
Hinweis
Das erste Release von GitHub Enterprise Server 3.17 enthielt CodeQL-Aktion und CodeQL CLI 2.20.7, die möglicherweise nicht alle diese Abfragen enthalten. Ihr Website-Administrator kann Ihre CodeQL-Version auf eine neuere Version aktualisieren. Weitere Informationen finden Sie unter Konfigurieren der Codeüberprüfung für Ihre Anwendung.
| Abfragename | Verwandte CWEs | Standard | Erweitert | Copilot Autofix |
|---|
[Das Attribut „requireSSL“ ist nicht auf „true“ festgelegt](https://codeql.github.com/codeql-query-help/csharp/cs-web-requiressl-not-set/) | 319, 614 | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Included" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Included" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Included" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> |
| Beliebiger Dateizugriff während der Archivextraktion („Zip Slip“) | 022 | | | | | ASP.NET Konfigurationsdatei aktiviert die Verzeichnissuche | 548 | | | | | Einspeisung des Assembly-Pfads | 114 | | | | | Speicherung von Klartext vertraulicher Informationen | 312, 315, 359 | | | | | Das Cookie "HttpOnly"-Attribut ist nicht auf "true" festgelegt. | 1004 | | | | | Das Cookie-Attribut "Secure" ist nicht auf "true" festgelegt. | 319, 614 | | | | | Cookie-Sicherheit: übermäßig weite Domäne | 287 | | | | | Cookie-Sicherheit: übermäßig weiter Pfad | 287 | | | | | Cookie-Sicherheit: beständiges Cookie | 539 | | | | | Beim Erstellen einer ASP.NET Debug-Binärdatei werden möglicherweise vertrauliche Informationen angezeigt | 011, 532 | | | | | Cross-Site Scripting | 079, 116 | | | | | Denial of Service vom Vergleich der Benutzereingabe gegen teure regex | 1333, 730, 400 | | | | | Deserialisierung von nicht vertrauenswürdigen Daten | 502 | | | | | Deserialisierte Stellvertretung | 502 | | | | | Verschlüsselung mit ECB | 327 | | | | | Gefährdung privater Informationen | 359 | | | | | Fehler beim Abbrechen der Sitzung | 384 | | | | | Header-Überprüfung deaktiviert | 113 | | | | | Falsche Kontrolle über die Generierung von Code | 094, 095, 096 | | | | | Gefährdung von Informationen über eine Ausnahme | 209, 497 | | | | | Gefährdung von Informationen durch übertragene Daten | 201 | | | | | Unsichere Zufallselemente | 338 | | | | | LDAP-Abfrage, die aus benutzerdefinierten Quellen erstellt wurde | 090 | | | | | Protokolleinträge, die anhand der Benutzereingabe erstellt wurden | 117 | | | | | Fehlende Tokenüberprüfung der siteübergreifende Anforderungsfälschung | 352 | | | | | Fehlender globaler Fehler-Handler | 012, 248 | | | | | Fehlender HTTP-Header für X-Frame-Options | 451, 829 | | | | | Die Überprüfung der Seitenanforderung ist deaktiviert. | 016 | | | | | Einspeisung regulärer Ausdrücke | 730, 400 | | | | | Ressourceneinspeisung | 099 | | | | | SQL-Abfrage, die aus benutzerdefinierten Quellen erstellt wurde | 089 | | | | | Nicht gesteuerte Befehlszeile | 078, 088 | | | | | Nicht kontrollierte Daten, die im Pfadausdruck verwendet werden | 022, 023, 036, 073, 099 | | | | | Unkontrollierte Formatzeichenkette | 134 | | | | | Nicht vertrauenswürdiger XML-Code wird unsicher gelesen. | 611, 827, 776 | | | | | Nichtvalidierte lokale Zeiger-Arithmetik | 119, 120, 122, 788 | | | | | URL-Umleitung von Remote-Quelle | 601 | | | | | Benutzergesteuerte Überbrückung vertraulicher Methoden | 807, 247, 350 | | | | | Unsichere Verschlüsselung | 327 | | | | | Schwache Verschlüsselung: unzureichende RSA-Auffüllung | 327, 780 | | | | | Schwache Verschlüsselung: Unzureichende Schlüsselgröße | 326 | | | | | Einspeisung von XML-Befehlen | 091 | | | | | XPath-Einspeisung | 643 | | | | | Leeres Passwort in Konfigurationsdatei | 258.862 | | | | | Unsichere Referenz zu Direct-Objekten | 639 | | | | | Unsichere SQL-Verbindung | 327 | | | | | Fehlende Zugriffssteuerung auf Funktionsebene | 285, 284, 862 | | | | | Fehlende XML-Validierung | 112 | | | | | Überbrückung der Serialisierungsprüfung | 020 | | | | | Thread-unsicheres Erfassen eines ICryptoTransform-Objekts | 362 | | | | | Thread-unsichere Verwendung eines statischen ICryptoTransform-Felds | 362 | | | | | Verwendung von Dateiuploads | 434 | | | | | Wertschattierung | 348 | | | | | Wertschattierung: Servervariable | 348 | | | |