De diepte in met Mendix Security advanced
Weet je hoe je de basiswerkzaamheden in Mendix applicaties veilig modelleert, maar wil je nog meer verdiepen in security? Dan is de Mendix Security Advanced training de volgende stap naar secure development. Tijdens deze training duik je in complexere kwetsbaarheden uit The S-Unit Top 10, zoals complexere scenario’s omtrent onveilige entiteitsrechten en microflows. Je ontdekt wat er mis kan gaan wanneer je integraties publiceert of consumeert en hoe je UI-kwetsbaarheden herkent en voorkomt. Nieuwsgierig geworden naar meer? Lees dan snel verder.
Voor wie?
- Ontwikkelaars van Mendix applicaties, die de Mendix Security Fundamentals training hebben afgerond en graag willen leren over complexere, niche gerelateerde kwetsbaarheden.
Tijdens de training leer je nog meer over:
- De onbewuste security gevolgen van create en delete rechten
- De impact op de veiligheid van onderlinge microflow interacties in complexere scenario’s
- De concepten achter het security-model van Mendix integraties
- De invloed van import en export mappings op security
- Het herkennen en voorkomen van verscheidene vormen van injectie
- De security consequenties van het client-server model
- Het herkennen en voorkomen van UI-kwetsbaarheden als data ontsluiting en Cross Site Scripting
- Hoe gepubliseerde integraties, zoals REST, SOAP of ODATA, leiden tot ongeautoriseerde inzage en manipulatie van data
- Hoe je veilig integreert met externe systemen, zoals REST APIs of OQL/SQL connectors
- Identificeren van kwetsbaarheden in zowel Studio Pro als een gedeployde Mendix applicatie
Wat levert het op?
- Minder security-issues in ontwikkelde applicaties.
- Lagere kosten in het developmentproces
- Beter risicobeheer dankzij developers die security-principes actief toepassen.
- Een ontwikkelproces dat aantoonbaar veiliger is.
- Direct toepasbaar bij lopende projecten
Onze geloofsovertuiging
Wij geloven dat je Mendix-applicaties pas veilig bouwt als je begrijpt hoe ze worden aangevallen. Daarom leren we developers denken als een hacker en maken we security een mindset. Met meer dan tien jaar ervaring, gespecialiseerde Mendix-experts, honderden geteste Mendix applicaties en onze rol als officiële Mendix-securitypartner kennen we de aanvalspatronen, valkuilen en grenzen van het platform. Die kennis bundelen we in The S-Unit Top 10 en delen we met jou, zodat elke Mendix developer kan bouwen met security by design.
Voorkennis
Deze training gaat ervan uit dat deelnemers basiservaring hebben met Mendix Studio Pro.
Inbegrepen
- Cursusmateriaal
- Deelnemerscertificaat
Zelf meenemen
- Een laptop met daarop geïnstalleerd:
- Portswigger Burp Suite (Pro of Community Edition)
- Mendix Studio Pro (laatste versie)
Theorie
- Verdieping TSU-02: Entity-level acties
- XPath omzeilingen bij eerste commit
- Delete rechten en integriteitgevoelige data
- Microflow manipulatie via create en delete rechten
- TSU-03: Complexe microflow interacties
- Risico van uncommitted changes
- Valkuilen mbt datavalidatie in microflows
- Statustransities en volgordelijkheid
- Gadget microflows en het Zero Trust Model
- TSU-04: Insecure Published Integrations:
- Basis concepten published integrations: Soorten integraties (SOAP, REST, ODATA), mogelijkheden authenticatie, mogelijkheden voor gebruikersinvoer, gebruik van Import en Export <appings
- Kwetsbaarheden: onveilige configuratie authenticatie, onveilige allowed roles, onveilig gebruik van Import Mappings, onveilige rechten op input objecten
- TSU-05: Insecure Consumed Integrations:
- Opties voor integratie consumptie binnen Mendix (ODATA, SOAP, REST)
- Basis concepten injectie aanvallen
- Basis concepten server side request forgery (SSRF)
- Kwetsbaarheden: manipulatie van API verkeer via path traversal,manipulatie van API verkeer via parameter injection, manipulatie van API verkeer via JSON/XML injection, aanvallen op interne systemen via SSRF en ontsluiting van API credentials via SSRF
- TSU-09: Insecure UI Components:
- Gevoelige data in pagina’s, widgets en client constants
- Cross Site Scripting via HTML rendering
- Cross Site Scripting via kwetsbaarheden in widgets
- Herkennen en voorkomen:
- Op basis van Security requirements
- Op basis van Principle of Least Privilege
- Op basis van Zero Trust Model
Praktijkoefeningen
- Interactieve discussie tijdens theorie
- Hands-on analyse van demo applicatie via JavaScript en HTTP
- Hands-on analyse van demo applicatie vanuit Studio Pro
- Analyse van verschillende oplossingsrichtingen voor gevonden kwetsbaarheden

Dirk van Veen
Ethical Hacker & Oprichter – The S-Unit
Dirk van Veen is ethisch hacker en oprichter van The S-Unit met een master in Computer Security. Hij is in 2011 begonnen als penetratietester en is binnen The S-Unit eindverantwoordelijke voor de technisch inhoudelijke kant van alle hack en consultancy activiteiten. Dirk vermaakt zich graag met het onderzoeken en vinden van kwetsbaarheden in nieuwe technologieën, zoals applicatie frameworks, cloud platformen en low code oplossingen. Naast zijn werk binnen The S-Unit organiseert Dirk met regelmaat hack wedstrijden voor o.a. Hack in the Box (2012-2019) en Platform voor Informatiebeveiliging (2014 – heden) en geeft hij wekelijks stijldansles aan studenten in Amsterdam.
Trainingslocatie
Online
Lunch
Lunch is niet bij deze training inbegrepen.
Begin- en eindtijd
09:00 t/m 17:00 CEST.
Taal
Geef op voorhand aan in welke taal je de training wilt. We bieden de training zowel in het Engels als Nederlands.
Mis je informatie of heb je speciale wensen?
Stuur een e-mail naar [email protected] en we nemen zo snel mogelijk contact met je op!