Politique de tests de pénétration
Si vous disposez d’un abonnement payant Auth0, vous pouvez effectuer un test de sécurité de votre application impliquant l’infrastructure Auth0 (par exemple, your-tenant.auth0.com) avec une autorisation préalable.
Soumettre une demande de test de pénétration
Pour effectuer un test de sécurité, veuillez nous en informer à l’avance via le Centre de soutien. Auth0 demande un préavis d’au moins 7 jours avant la date de début prévue de votre test.
Si le test est limité à votre infrastructure (c’est-à-dire s’il n’y aura aucun test des services Auth0), vous n’avez pas besoin d’en informer Auth0.
Informations requises
Veuillez fournir les informations suivantes dans le ticket de soutien technique lorsque vous demandez l’approbation pour le test :
Les dates/heures spécifiques du test et le fuseau horaire. Les tests ne sont pas autorisés pendant une période de gel des modifications. Pour en savoir plus, veuillez lire la politique de test de pénétration pendant la période de gel des modifications ci-dessous.
Portée et objectif du test
Adresse(s) IP à partir de laquelle/lesquelles le test sera lancé.
Outils prévus pour être utilisés
Demandes par seconde (le test doit être conforme avec la Politique de limites anti-attaques)
Le(s) locataire(s) Auth0 impliqué(s).
Deux contacts - numéro de téléphone et adresse courriel qui seront disponibles pendant toute la période de test au cas où nous aurions besoin de vous contacter. Si nous avons des questions, nous déploierons des efforts raisonnables pour vous contacter. Si nous ne pouvons pas vous joindre, nous nous réservons le droit de prendre des mesures pour protéger le service, ce qui peut inclure la désactivation ou le blocage de votre locataire et/ou de la source du trafic intrusif.
Politique de gel des modifications
Les tests de pénétration ne sont pas autorisés pendant les périodes de gel des modifications.
Pour visualiser les périodes de gel des modifications actuellement planifiées, lisez Politique de gel des modifications.
Exigences de test
Auth0 demande qu :
Le test soit limité à votre locataire uniquement
Le nombre de demandes par seconde du test ne doit pas dépasser les taux définis dans notre Politique de limite anti-attaques
Vous divulguiez toute découverte suspecte à l'équipe de sécurité Auth0 pour explication/discussion
Signalement des vulnérabilités identifiées
Pour signaler toute vulnérabilité repérée, veuillez lire la Politique de signalement des vulnérabilités.
Restrictions
Vous ne pouvez pas effectuer de test de surcharge (par exemple, des attaques de Déni de service) conformément à la politique sur les tests de surcharge.
Vous ne pouvez pas effectuer de tests de pénétration ciblant notre tableau de bord de gestion. Les API de gestion et d'authentification sont autorisées.
Vous ne pouvez pas effectuer de tests de pénétration ciblant des locataires que nous n'avons pas approuvés.
Clients de Nuage privé
Les clients de Nuage privé doivent également demander la permission d’exécuter un test de pénétration via le centre d’assistance Auth0. Veuillez inclure les informations mentionnées ci-dessus dans votre demande de soutien.