Requêtes C# pour l’analyse CodeQL

Explorez les requêtes que CodeQL utilise pour analyser le code écrit en C# et ce lorsque vous sélectionnez la suite de requêtes default ou security-extended.

Qui peut utiliser cette fonctionnalité ?

CodeQL est disponible pour les types de référentiels suivants :

Référentiels publics sur GitHub.com, consultez conditions générales de CodeQL GitHub
Référentiels appartenant à l’organisation sur GitHub Team ou GitHub Enterprise Cloud avec GitHub Code Security activé

CodeQL inclut de nombreuses requêtes pour l’analyse du code C#. Toutes les requêtes de la suite de requêtes default sont exécutées par défaut. Si vous choisissez d’utiliser la suite de requêtes security-extended, des requêtes supplémentaires sont exécutées. Pour plus d’informations, consultez « Suites de requêtes CodeQL ».

Requêtes intégrées pour l’analyse C#

Ce tableau répertorie les requêtes disponibles avec la dernière version de l’action CodeQL et CodeQL CLI. Pour plus d’informations, consultez les journaux des modifications CodeQL dans le site de documentation de CodeQL.

Nom de la requête	CWE connexes	Par défaut	Étendu	Correctif automatique Copilot
L’attribut « requireSSL » n’est pas défini sur true	319, 614
Accès arbitraire aux fichiers lors de l’extraction d’archives (« Zip Slip »)	022
Le fichier de configuration ASP.NET active l’exploration des répertoires	548
Injection de chemin d’accès d’assembleur	114
Effacer le stockage de texte des informations sensibles	312, 315, 359
Sécurité des cookies : domaine trop large	287
Sécurité des cookies : chemin d’accès trop large	287
Sécurité des cookies : cookie persistant	539
La création d’un fichier binaire de débogage ASP.NET peut révéler des informations sensibles	011, 532
Scripting inter-site	079, 116
Refus de service de comparaison de l’entrée utilisateur par rapport à une regex coûteuse	1 333, 730, 400
Désérialisation de données non approuvées	502
Délégué désérialisé	502
Chiffrement à l'aide d'ECB	327
Exposition des informations privées	359
Échec de l’abandon de la session	384
Vérification de l’en-tête désactivée	113
Contrôle incorrect de la génération de code	094, 095, 096
Exposition des informations par le biais d’une exception	209, 497
Exposition des informations par le biais de données transmises	201
Caractère aléatoire non sécurisé	338
Requête LDAP créée à partir de sources contrôlées par l’utilisateur	090
Entrées de journaux d’activité créées à partir d’une entrée utilisateur	117
Validation de jeton de falsification de requête intersites manquante	352
Gestionnaire d’erreurs global manquant	012, 248
En-tête HTTP X-Frame-Options manquante	451, 829
La validation de la demande de page est désactivée	016
Injection d’expressions régulières	730, 400
Injection de ressources	099
Requête SQL créée à partir de sources contrôlées par l’utilisateur	089
Ligne de commande non contrôlée	078, 088
Données non contrôlées utilisées dans l'expression de chemin d'accès	022, 023, 036, 073, 099
Chaîne de format non contrôlée	134
Le code XML non approuvé est en lecture non sécurisée	611, 827, 776
Arithmétique du pointeur local non validé	119, 120, 122, 788
Redirection d’URL à partir d’une source distante	601
Contournement contrôlé par l’utilisateur de la méthode sensible	807, 247, 350
Chiffrement faible	327
Chiffrement faible : remplissage RSA inadéquat	327, 780
Chiffrement faible : taille de clé insuffisante	326
Injection de code XML	091
Injection XPath	643
Mot de passe vide dans le fichier de configuration	258, 862
Informations de référence sur les objets directs non sécurisées	639
Connexion SQL non sécurisée	327
Contrôle d’accès au niveau de la fonction manquant	285, 284, 862
Validation XML manquante	112
Contournement de la vérification de sérialisation	020
Capture non sécurisée de thread d’un objet ICryptoTransform	362
Utilisation non sécurisée de thread d’un champ ICryptoTransform statique	362
Utilisation du chargement de fichiers	434
Ombre de valeur	348
Ombre de valeur : variable de serveur	348