CodeQL incluye muchas consultas para analizar código de Go.
Consultas integradas para el análisis de Go
| Nombre de la consulta | CWE relacionados | Valor predeterminado | Ampliado | Autofijo de Copilot |
|---|
[Acceso arbitrario a archivos durante la extracción de archivos ("Zip Slip")](https://codeql.github.com/codeql-query-help/go/go-zipslip/) | 022 | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Incluido" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Incluido" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Incluido" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> |
|
Escritura arbitraria de archivos que extrae un archivo que contiene vínculos simbólicos | 022 | | | |
|
Comprobación de redireccionamiento incorrecta | 601 | | | |
|
Registro de texto no cifrado de información confidencial | 312, 315, 359 | | | |
|
Comando creado a partir de orígenes controlados por el usuario | 078 | | | |
|
El atributo cookie 'HttpOnly' no está establecido en true | 1004 | | | |
|
El atributo "Secure" de cookie no está establecido en true | 614 | | | |
|
Scripting entre sitios a través de la omisión de escape de plantillas HTML | 079, 116 | | | |
|
Consulta de base de datos creada a partir de orígenes controlados por el usuario | 089 | | | |
|
Comprobación de certificados TLS deshabilitada | 295 | | | |
|
Inserción de contenido por correo electrónico | 640 | | | |
|
Expresión regular para nombres de host incompleta | 020 | | | |
|
Comprobación de esquema de dirección URL incompleta | 020 | | | |
|
Conversión entre tipos enteros incorrecta | 190, 681 | | | |
|
Exposición de la información a través de un seguimiento de la pila | 209, 497 | | | |
|
Configuración de TLS no segura | 327 | | | |
|
Falta de comprobación de firma JWT | 347 | | | |
|
Falta el delimitador de expresiones regulares | 020 | | | |
|
Abrir la URL de redireccionamiento | 601 | | | |
|
Citas potencialmente no seguras | 078, 089, 094 | | | |
|
Scripting entre sitios reflejado | 079, 116 | | | |
|
El cálculo de tamaño para la asignación puede desbordarse | 190 | | | |
|
Segmentación de la asignación de memoria con un valor de tamaño excesivo | 770 | | | |
|
Caracteres sospechosos en una expresión regular | 020 | | | |
|
Datos usados en la solicitud de red no controlados | 918 | | | |
|
Datos usados en la expresión de ruta de acceso no controlados | 022, 023, 036, 073, 099 | | | |
|
Utilización de un algoritmo criptográfico roto o débil | 327, 328 | | | |
|
Utilización de un algoritmo hash criptográfico roto o débil con datos confidenciales | 327, 328, 916 | | | |
|
Utilización de una clave criptográfica débil | 326 | | | |
|
Utilización del valor constante state en la dirección URL de OAuth 2.0 | 352 | | | |
|
Utilización de la implementación de HostKeyCallback no segura | 322 | | | |
|
Utilización insuficiente de la aleatoriedad como clave de un algoritmo criptográfico | 338 | | | |
|
Inserción de XPath | 643 | | | |
|
Entradas de registro creadas a partir de la entrada de usuario | 117 | | | |