CodeQL содержит множество запросов для анализа кода Java и Kotlin. Все запросы в наборе default запросов выполняются по умолчанию. Если вы решили использовать security-extended набор запросов, выполняются дополнительные запросы. Дополнительные сведения см. в разделе Наборы запросов CodeQL.
Встроенные запросы для анализа Java и Kotlin
В этой таблице перечислены запросы, доступные в последнем выпуске действия CodeQL и CodeQL CLI. Дополнительные сведения см. в разделе CodeQL журналов изменений на сайте документации CodeQL документации.
| Имя запроса | Связанные CWEs | По умолчанию. | Расширенное | Автофикс второго пилота |
|---|---|---|---|---|
| [ |
`TrustManager` , принимающее все сертификаты](https://codeql.github.com/codeql-query-help/java/java-insecure-trustmanager/) | 295 | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="check icon" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="check icon" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="check icon" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> |
| Android WebView , принимающее все сертификаты | 295 | | | |
| Отладчик с поддержкой атрибута Android | 489 | | | |
| Внедрение фрагментов Android | 470 | | | |
| Внедрение фрагментов Android в PreferenceActivity | 470 | | | |
| Перенаправление намерений Android | 926, 940 | | | |
| Включена отладка Веб-представления Android | 489 | | | |
| Произвольный доступ к файлам во время извлечения архива (Zip Slip) | 022 | | | |
| Хранилище конфиденциальной информации в файле cookie с помощью Cleartext | 315 | | | |
| Межстраничное скриптирование | 079 | | | |
| В зависимости от JCenter/Bintray в качестве репозитория артефактов | 1104 | | | |
| Десериализация управляемых пользователем данных | 502 | | | |
| Обнаружение уязвимости генератора JHipster CVE-2019-16303 | 338 | | | |
| Отключена проверка заголовка HTTP Netty | 093, 113 | | | |
| Отключенная защита Spring CSRF | 352 | | | |
| Открытые актуаторы Spring Boot | 200 | | | |
| Предоставляемые актуаторы Spring Boot в файле конфигурации | 200 | | | |
| Внедрение языка выражений (JEXL) | 094 | | | |
| Внедрение языка выражений (MVEL) | 094 | | | |
| Внедрение языка выражений (Spring) | 094 | | | |
| Сбой использования URL-адреса HTTPS или SFTP в maven artifact upload/download | 300, 319, 494, 829 | | | |
| Неиспользование безопасных файлов cookie | 614 | | | |
| Внедрение языка Groovy | 094 | | | |
| Разделение ответа HTTP | 113 | | | |
| Неявное сужение преобразования в составном назначении | 190, 192, 197, 681 | | | |
| Неявно экспортируемый компонент Android | 926 | | | |
| Неправильное подтверждение намерения получателем трансляции | 925 | | | |
| Неэффективное регулярное выражение | 1333, 730, 400 | | | |
| Раскрытие информации с помощью трассировки стека | 209, 497 | | | |
| Раскрытие информации с помощью сообщения об ошибке | 209 | | | |
| Небезопасная проверка bean | 094 | | | |
| Небезопасная проверка подлинности LDAP | 522, 319 | | | |
| Небезопасная локальная проверка подлинности | 287 | | | |
| Небезопасная случайность | 330, 338 | | | |
| Обработка разрешений URI намерения | 266, 926 | | | |
| Поиск JNDI с управляемым пользователем именем | 074 | | | |
| Запрос LDAP, созданный из управляемых пользователем источников | 090 | | | |
| Отсутствует проверка подписи JWT | 347 | | | |
| Оператор языка выражений OGNL с пользовательскими входными данными | 917 | | | |
| Чрезмерно допустимый диапазон регулярных выражений | 020 | | | |
| Частичный обход уязвимостей пути из удаленного доступа | 0,23 | | | |
| Многономиальное регулярное выражение, используемое для неконтролируемых данных | 1333, 730, 400 | | | |
| Запрос, созданный из управляемых пользователем источников | 089, 564 | | | |
| Чтение из файла, доступного для записи | 732 | | | |
| Внедрение регулярных выражений | 730, 400 | | | |
| Разрешение внешней сущности XML в управляемых пользователем данных | 611, 776, 827 | | | |
| Конфиденциальные файлы cookie без заданного заголовка ответа HttpOnly | 1004 | | | |
| Подделка запроса на стороне сервера | 918 | | | |
| Внедрение шаблона на стороне сервера | 1336, 094 | | | |
| Неконтролируемая командная строка | 078, 088 | | | |
| Неконтролируемые данные, используемые в разрешении содержимого | 441, 610 | | | |
| Неконтролируемые данные, используемые в выражении пути | 022, 023, 036, 073 | | | |
| Небезопасная проверка имени узла | 297 | | | |
| URL-адрес пересылки из удаленного источника | 552 | | | |
| Перенаправление URL-адресов из удаленного источника | 601 | | | |
| Использование неисправного или рискованного алгоритма шифрования | 327, 328 | | | |
| Использование алгоритма шифрования с недостаточным размером ключа | 326 | | | |
| Использование прогнозируемого начального значения в безопасном генераторе случайных чисел | 335, 337 | | | |
| Использование строки форматирования с внешним контролем | 134 | | | |
| Использование неявных ожиданийIntents | 927 | | | |
| Использование алгоритма RSA без OAEP | 780 | | | |
| Управляемые пользователем данные в числовом приведение | 197, 681 | | | |
| Контролируемые пользователем данные, используемые в проверке разрешений | 807, 290 | | | |
| Использование статического вектора инициализации для шифрования | 329, 1204 | | | |
| Внедрение XPath | 643 | | | |
| Преобразование XSLT с пользовательской таблицей стилей | 074 | | | |
| Доступ к методам объектов Java с помощью воздействия JavaScript | 079 | | | |
| Установка ANDROID APK | 094 | | | |
| Закрепление сертификатов в Android | 295 | | | |
| Кэш конфиденциальной клавиатуры Android | 524 | | | |
| Доступ к файлам Android WebSettings | 200 | | | |
| Параметры JavaScript для Android WebView | 079 | | | |
| Параметры Android WebView позволяют получить доступ к ссылкам на содержимое | 200 | | | |
| Разрешено резервное копирование приложений | 312 | | | |
| Создание командной строки с объединением строк | 078, 088 | | | |
| Создание команды с внедренной переменной среды | 078, 088, 454 | | | |
| Хранилище конфиденциальной информации в файловой системе Android | 312 | | | |
| Хранение конфиденциальной информации с помощью класса Properties | 313 | | | |
| Хранилище конфиденциальных данных с помощью Cleartext в SharedPreferences Android | 312 | | | |
| Хранилище конфиденциальной информации с помощью локальной базы данных в Android | 312 | | | |
| Сравнение узкого типа с широким типом в условии цикла | 190, 197 | | | |
| Выполнение команды с относительным путем | 078, 088 | | | |
| Воздействие конфиденциальной информации на уведомления | 200 | | | |
| Раскрытие конфиденциальной информации в представлениях текста пользовательского интерфейса | 200 | | | |
| Тип HTTP-запроса незащищен от CSRF | 352 | | | |
| Неправильная проверка индекса массива, предоставленного пользователем | 129 | | | |
| Неправильная проверка предоставленного пользователем размера, используемого для построения массива | 129 | | | |
| Небезопасная обычная проверка подлинности | 522, 319 | | | |
| Небезопасная конфигурация SSL JavaMail | 297 | | | |
| Небезопасно созданные ключи для локальной проверки подлинности | 287 | | | |
| Вставка конфиденциальной информации в файлы журнала | 532 | | | |
| Утечка конфиденциальной информации через ResultReceiver | 927 | | | |
| Утечка конфиденциальной информации с помощью неявного намерения | 927 | | | |
| Раскрытие локальной информации во временном каталоге | 200, 732 | | | |
| Внедрение журнала | 117 | | | |
| Цикл с неустранимым условием выхода | 835 | | | |
| Отсутствует разрешение на чтение или запись в поставщике содержимого | 926 | | | |
| Уязвимость с частичным путем обхода | 0,23 | | | |
| Запрос, созданный путем объединения с возможно ненадежной строкой | 089, 564 | | | |
| Состояние гонки в проверке подлинности сокета | 421 | | | |
| Время проверки времени использования состояния гонки | 367 | | | |
| Нарушение границ доверия | 501 | | | |
| Неконтролируемые данные в арифметическом выражении | 190, 191 | | | |
| Нераспрестанная блокировка | 764, 833 | | | |
| Небезопасное доверие к сертификату | 273 | | | |
| Небезопасное получение ресурсов в Android WebView | 749, 079 | | | |
| Использование потенциально нарушенного или рискованного алгоритма шифрования | 327, 328 | | | |
| Использование потенциально опасной функции | 676 | | | |
| Управляемый пользователем обход конфиденциального метода | 807, 290 | | | |
| Управляемые пользователем данные в арифметическом выражении | 190, 191 | | | |