Doelgroep

Deze training is met name gericht op: 

• Ontwikkelaars van Mendx applicaties 
• Architecten van Mendx applicaties 
• Testers van Mendx applicaties 

Twijfel je of deze training iets voor jou is… neem contact op.

Inhoud

Deze training betreft een workshop waarin deelnemers hands-on in aanraking komen met de technieken die aanvallers kunnen gebruiken om Mendix applicaties aan te vallen en de handvatten die je als ontwikkelaar hebt om je applicatie te verdedigen.   

Tijdens de training leer je: 

• De concepten achter het security model van Mendix  
• Veelvoorkomende fouten en kwetsbaarheden in Mendix applicaties 
• Manieren om zelf kwetsbaarheden te vinden / misbruiken in:
  • Data model / access rules 
  • Microflows 
  • REST/SOAP API’s 
  • Maatwerk request handlers 
• Handvatten om kwetsbaarheden te voorkomen 

Relevantie

Low code platformen als Mendix verlagen aanzienlijk de drempel voor het ontwikkelen van applicaties. Dit komt enerzijds doordat ontwikkelaars zelf geen code hoeven te schrijven, en anderzijds doordat de platformen de verantwoordelijkheid voor bepaalde security-gevoelige functionaliteiten op zich nemen. In de praktijk blijkt dat ontwikkelaars vaak een verdraaid beeld hebben van wat dit laatste betekent voor de verantwoordelijkheden die ze zelf hebben met betrekking tot security, en daarmee wat voor security impact bepaalde acties tijdens het modelleren kunnen hebben. Dit leidt onnodig vaak tot ongewenste ontsluiting van gegevens en functionaliteiten van de resulterende applicaties. 

The S-Unit?

Wanneer je zelf de bril van een hacker opzet en een Mendix applicatie aanvalt, word je direct met je neus op de feiten gedrukt. Hierdoor verandert het onderwerp “security” voor altijd van een theoretisch verhaal naar een tastbare realiteit. 

Voorkennis

Deze training gaat ervan uit dat deelnemers basiservaring hebben met Mendix Studio Pro.

Inbegrepen

• Cursusmateriaal 
• Deelnemerscertificaat 

Zelf meenemen

• Een laptop met daarop geïnstalleerd: 
  • Burp
  • Mendix Studio Pro (laatste versie) 

Theorie

• Basistheorie web applicaties & web app hacking
• Mendix security model en implementatie
• Aanvalsoppervlak Mendix applicaties
• Veel voorkomende kwetsbaarheden
  • Rechten configuratie
  • Microflow implementatie
  • UI kwetsbaarheden
  • REST/SOAP integraties
  • AppStore modules
  • Maatwerk Java
• Herkennen en voorkomen

Praktijkoefeningen

• Directe interactie met Mendix applicaties via JavaScript en HTTP
• Enumereren van toegankelijke gegevens en functionaliteiten in Mendix applicaties
• Herkennen en misbruiken van veelvoorkomende kwetsbaarheden middels hack challenges

Dirk van Veen
Ethical Hacker & Oprichter – The S-Unit

Dirk van Veen is ethisch hacker en oprichter van The S-Unit met een master in Computer Security. Hij is in 2011 begonnen als penetratietester en is binnen The S-Unit eindverantwoordelijke voor de technisch inhoudelijke kant van alle hack en consultancy activiteiten. Dirk vermaakt zich graag met het onderzoeken en vinden van kwetsbaarheden in nieuwe technologieën, zoals applicatie frameworks, cloud platformen en low code oplossingen. Naast zijn werk binnen The S-Unit organiseert Dirk met regelmaat hack wedstrijden voor o.a. Hack in the Box (2012-2019) en Platform voor Informatiebeveiliging (2014 – heden) en geeft hij wekelijks stijldansles aan studenten in Amsterdam.

Trainingslocatie

Online

Lunch

Lunch is niet bij deze training inbegrepen.

Begin- en eindtijd

09:00 t/m 17:00 CEST.

Taal

De taal van de training wordt altijd aangegeven. Wil je de training graag in een andere taal volgen, neem contact met ons op. Bij voldoende interesse wordt de training ook in andere talen aangeboden. 

Mis je informatie of heb je speciale wensen?

Stuur een e-mail naar [email protected] en we nemen contact met u op!