Java- und Kotlin-Abfragen zur CodeQL-Analyse

Erkunden Sie die Abfragen, die CodeQL zum Analysieren von Code verwendet, der in Java oder Kotlin geschrieben wurde, wenn Sie die Abfragesammlung default oder security-extended auswählen.

Wer kann dieses Feature verwenden?

CodeQL ist für die folgenden Repositorytypen verfügbar:

Öffentliche Repositorys auf GitHub.com, siehe Geschäftsbedingungen für GitHub CodeQL
Organisationseigene Repositorys in GitHub Enterprise Cloud mit aktivierter GitHub Advanced Security

CodeQL enthält viele Abfragen zum Analysieren von Java- oder Kotlin-Code. Alle Abfragen in der default Abfragesammlung werden standardmäßig ausgeführt. Wenn Sie sich für die Verwendung der security-extended Abfragesammlung entscheiden, werden zusätzliche Abfragen ausgeführt. Weitere Informationen findest du unter CodeQL-Abfragesammlungen.

Integrierte Abfragen zur Java- und Kotlin-Analyse

In dieser Tabelle sind die Abfragen aufgeführt, die mit der neuesten Version der Aktion CodeQL und CodeQL CLI verfügbar sind. Weitere Informationen finden Sie unter CodeQL-Änderungsprotokollen auf der Dokumentationsseite zu CodeQL.

Abfragename	Verwandte CWEs	Standard	Erweitert	Copilot Autofix
`TrustManager`, die alle Zertifikate akzeptiert	295
Android `WebView`, das alle Zertifikate akzeptiert	295
Android-Attribut zum Debuggen aktiviert	489
Android-Fragmenteinspeisung	470
Android-Fragmenteinspeisung in PreferenceActivity	470
Android Absicht-Umleitung	926, 940
Android Webview-Debuggen aktiviert	489
Beliebiger Dateizugriff während der Archivextraktion („Zip Slip“)	022
Erstellen einer Befehlszeile mit Zeichenketten-Verkettung	078, 088
Speicherung von Klartext vertraulicher Informationen in Cookie	315
Cross-Site Scripting	079
Abhängig von JCenter/Bintray als Artefakt-Repository	1104
Deserialisierung benutzergesteuerter Daten	502
Erkennen der Verwundbarkeit des JHipster-Generators CVE-2019-16303	338
Deaktivierte Überprüfung des Netty-HTTP-Headers	93, 113
Deaktivierter Feder-CSRF-Schutz	352
Einspeisung der Ausdruckssprache (JEXL)	094
Einspeisung der Ausdruckssprache (MVEL)	094
Einspeisung der Ausdruckssprache (Spring)	094
Fehler bei der Verwendung der HTTPS- oder SFTP-URL im Maven-Artefakt-Upload/-Download	300, 319, 494, 829
Fehler bei der Verwendung sicherer Cookies	614
Einspeisung der Groovy Language	094
HTTP Response Splitting	113
Implizite einschränkende Konvertierung in zusammengesetzter Aufgabe	190, 192, 197, 681
Implizit exportierte Android-Komponente	926
Falsche Überprüfung der Absicht durch Sendungsempfänger	925
Ineffizienter regulärer Ausdruck	1333, 730, 400
Gefährdung von Informationen über eine Stapelüberwachung	209, 497
Offenlegung von Informationen durch eine Fehlermeldung	209
Unsichere Bean-Überprüfung	094
Unsichere LDAP-Authentifizierung	522, 319
Unsichere lokale Authentifizierung	287
Unsichere Zufallselemente	330, 338
Manipulation von Absichts-URI-Berechtigungen	266, 926
JNDI-Verweis mit benutzerdefiniertem Namen	074
LDAP-Abfrage, die aus benutzerdefinierten Quellen erstellt wurde	090
Fehlende JWT-Signaturprüfung	347
OGNL Ausdruckssprachanweisung mit benutzergesteuerter Eingabe	917
Übermäßig zulässiger regulärer Ausdrucksbereich	020
Teilweise Pfadüberwindungs-Schwachstelle von Remote	023
Polynomischer regulärer Ausdruck, der für unkontrollierte Daten verwendet wird	1333, 730, 400
Abfrage, die aus benutzerdefinierten Quellen erstellt wurde	089, 564
Lesen aus einer schreibbaren Weltdatei	732
Einspeisung regulärer Ausdrücke	730, 400
Auflösen der externen XML-Entität in benutzergesteuerten Daten	611, 776, 827
Serverseitige Anforderungsfälschung	918
Serverseitige Vorlageneinspeisung	1336, 094
Nicht gesteuerte Befehlszeile	078, 088
Nicht kontrollierte Daten, die in der Inhaltsauflösung verwendet werden	441, 610
Nicht kontrollierte Daten, die im Pfadausdruck verwendet werden	022, 023, 036, 073
Unsichere Hostnamenprüfung	297
URL-Weiterleitung aus einer Remotequelle	552
URL-Umleitung von Remote-Quelle	601
Verwendung eines fehlerhaften oder riskanten Kryptografiealgorithmus	327, 328
Verwendung eines Kryptografiealgorithmus mit unzureichender Schlüsselgröße	326
Verwendung eines vorhersehbaren Seeds in einer sicheren Zufallszahlengenerierung	335, 337
Verwenden einer extern gesteuerten Formatzeichenkette	134
Verwendung impliziter PendingIntents	927
Verwendung des RSA-Algorithmus ohne OAEP	780
Benutzergesteuerte Daten in numerischer Umwandlung	197, 681
Benutzergesteuerte Daten, die bei der Berechtigungsprüfung verwendet werden	807, 290
Verwendung eines statischen Initialisierungsvektors für die Verschlüsselung	329, 1204
XPath-Einspeisung	643
XSLT-Transformation mit benutzerdefiniertem Stylesheet	074
Zugriff auf Java-Objektmethoden über JavaScript-Gefährdung	079
Android APK-Installation	094
Android fehlendes Anheften von Zertifikaten	295
Android vertrauliche Zwischenspeicherung für Tastatur	524
Android WebSettings Dateizugriff	200
JavaScript-Einstellungen für Android WebView	079
Android WebView-Einstellungen aktivieren den Zugriff auf Inhaltslinks	200
Anwendungssicherung zulässig	312
Erstellen eines Befehls mit einer injizierten Umgebungsvariable	078, 088, 454
Speichern von Klartext vertraulicher Informationen im Android Dateisystem	312
Speicherung von Klartext vertraulicher Informationen mithilfe der Klasse „Properties“	313
Speichern von Klartext vertraulicher Informationen mit `SharedPreferences` auf Android	312
Speicherung von Klartext vertraulicher Informationen mithilfe einer lokalen Datenbank auf Android	312
Vergleich des schmalen Typs mit breitem Typ in Loop-Bedingung	190, 197
Ausführen eines Befehls mit einem relativen Pfad	078, 088
Gefährdung vertraulicher Informationen über Benachrichtigungen	200
Gefährdung vertraulicher Informationen über Benutzeroberflächentextansichten	200
Hartcodierte Anmeldedaten im API-Aufruf	798
Falsche Validierung des vom Benutzer bereitgestellten Array-Index	129
Falsche Validierung der vom Benutzer bereitgestellten Größe, die für die Array-Erstellung verwendet wird	129
Unsichere Standardauthentifizierung	522, 319
Unsichere JavaMail SSL-Konfiguration	297
Unsicher generierte Schlüssel für die lokale Authentifizierung	287
Einfügen vertraulicher Informationen in Protokolldateien	532
Verlust vertraulicher Informationen über einen ResultReceiver	927
Verlust vertraulicher Informationen über eine implizite Absicht	927
Veröffentlichung lokaler Informationen in einem temporären Verzeichnis	200, 732
Protokolleinspeisung	117
Loop mit nicht erreichbarer Ausgangsbedingung	835
Fehlende Lese- oder Schreibberechtigung in einem Inhaltsanbieter	926
Teilweise Pfadüberwindungs-Schwachstelle	023
Abfrage, die durch Verkettung mit einer möglicherweise nicht vertrauenswürdigen Zeichenkette erstellt wurde	089, 564
Racebedingung in Socket-Authentifizierung	421
Time-of-Check Time-of-Use Racebedingung	367
Verletzung der Vertrauensgrenze	501
Nicht kontrollierte Daten im arithmetischen Ausdruck	190, 191
Nicht freigegebene Sperre	764, 833
Unsicheres Zertifikatsvertrauen	273
Unsichere Ressourcenabrufe in Android WebView	749, 079
Verwendung eines potenziell fehlerhaften oder riskanten Kryptografiealgorithmus	327, 328
Verwendung einer potenziell gefährlichen Funktion	676
Benutzergesteuerte Überbrückung vertraulicher Methoden	807, 290
Benutzergesteuerte Daten im arithmetischen Ausdruck	190, 191