ClickGenerator embarque des capacités de test de charge et de scan de sécurité défensif. Vous ne devez les utiliser que sur :

• des systèmes que vous possédez, ou
• des systèmes pour lesquels vous disposez d'une autorisation écrite explicite (mandat client, périmètre de test défini).

Scanner ou charger un système sans autorisation peut être illégal (CFAA aux US, Computer Misuse Act au UK, équivalents ailleurs), indépendamment de l'intention. Vous êtes seul responsable de l'usage que vous faites de cet outil.

• AUTH_ALLOWLIST : restreint les opérations intrusives (scan sécurité, load test, ramp, scan serveur, bulk) aux domaines listés. Vide = pas d'enforcement (mode local/dev) ; à renseigner en production/agence.
• Caps non contournables sur la charge (concurrence, nombre de requêtes, durée) et timeouts.
• Lecture seule par défaut : aucun payload offensif, aucune écriture.
• User-Agent identifiable (ClickGenerator*) — pas d'évasion de détection.

DoS/flood sans limite, exploitation (SQLi/XSS/RCE…), brute-force d'identifiants, évasion de WAF/IDS. Voir docs/SECURITY-TOOLS.md pour le détail des bornes.

Merci de ne pas ouvrir d'issue publique pour une faille de sécurité. Ouvrez plutôt une Security Advisory privée sur GitHub, ou contactez les mainteneurs en privé. Nous répondrons dès que possible et créditerons les rapports responsables.