Ga de uitdaging aan: Mendix security op expertniveau
Weet jij als geen ander hoe je kwetsbaarheden herkent en voorkomt in jouw Mendix applicaties? Onze ethisch hackers dagen jou uit in de Mendix Security Expert training tot het hoogste niveau. Heb je de training afgerond, dan mag je jezelf officieel Mendix securityexpert noemen. In de training leer je kwetsbaarheden herkennen en voorkomen in authenticatie, de interne werking van de Mendix runtime en maatwerk Java code. Ga jij de uitdaging aan? Lees dan verder.
Voor wie?
- Voor Mendix developers die de Mendix Security Fundamentals en -Advanced training hebben afgerond en zich tot het uiterste willen uitdagen.
- Als je meer wilt leren over specialistische onderwerpen, zoals authenticatie, de interne werking van de Mendix runtime en maatwerk Java code.
Tijdens de training leer je:
- Veel voorkomende kwetsbaarheden in Mendix authenticatie flows
- Kernconcepten van Mendix request handlers en Java actions
- Risico’s van System en Sudo context in maatwerk Java code
- Interne details van de Client API en het state handling mechanisme van Mendix
- Veilige en onveilige methodes van XPath queries in Java
- Veelvoorkomende high-code kwetsbaarheden in Java-applicaties
- Identificeren van kwetsbaarheden in zowel Studio Pro als een gedeployde Mendix applicatie
- De veelvoorkomende kwetsbaarheden in maatwerkauthenticatiemechanismes in Mendix applicaties, en hoe je ze veilig maakt
- De interne werking van de Mendix Runtime, zoals de interne authenticatie- en autorisatie-mechanismes
- Het vinden van kwetsbaarheden uit het verleden in de Mendix Runtime en third party componenten
Wat levert het op?
- Je bouwt expertise op als security specialist in Mendix
- Minder security-issues in ontwikkelde applicaties.
- Lagere kosten in het developmentproces
- Beter risicobeheer dankzij developers die security-principes actief toepassen.
- Een ontwikkelproces dat aantoonbaar veiliger is.
- Een interne security by design propositie
Onze geloofsovertuiging
Wij geloven dat je Mendix-applicaties pas veilig bouwt als je begrijpt hoe ze worden aangevallen. Daarom leren we developers denken als een hacker en maken we security een mindset. Met meer dan tien jaar ervaring, gespecialiseerde Mendix-experts, honderden geteste Mendix applicaties en onze rol als officiële Mendix-securitypartner kennen we de aanvalspatronen, valkuilen en grenzen van het platform. Die kennis bundelen we in The S-Unit Top 10 en delen we met jou, zodat elke Mendix developer kan bouwen met security by design.
Voorkennis
Deze training gaat ervan uit dat deelnemers de training Mendix Security Fundamentals gevolgd heeft en bekend is met de daarin behandelde kwetsbaarheden en technieken voor detectie en preventie.
Inbegrepen
- Cursusmateriaal
- Deelnemerscertificaat
Zelf meenemen
- Een laptop met daarop geïnstalleerd:
- Portswigger Burp Suite (Pro of Community Edition)
- Mendix Studio Pro (laatste versie)
Theorie
- Architectuur Mendix Runtime:
- Kernconcepten Client API: Actions en runtime operations
- User, Sudo en System context
- TSU-06: Use of outdated or end-of-life components
- Claim based authentication (JWT/SAML)
- Voorbeelden kwetsbaarheden verouderde widgets, marktplaats modules, Java libraries en runtime
- TSU-07: Insecure custom authentication
- Basisconcepten en kwetsbaarheden authenticatie gebruikers:
- (On)veilig gebruik van (anonieme) sessies
- Concurrerende authenticatie mechanismes
- Basisconcepten en kwetsbaarheden authenticatie integraties:
- Claim based authentication (JWT/SAML)
- Controleren van digitale handtekeningen
- Non-user based authentication (API-key, etc.)
- TSU-08: Insecure custom java
- Autorisatiecontroles in Sudo/System contexten
- Input herkenning en validatie
- Output encoding en Cross Site Scripting
- XML/JSON deserialisatie en format-specifieke kwetsbaarheden
- TSU-10: Insecure cloud deployments
- Path based access restrictions
- Security headers en Content Security Policy
- Onveilige configuratie van contanten
- Herkennen en voorkomen:
- Op basis van Security requirements
- Op basis van Principle of Least Privilege
- Op basis van Zero Trust Model
Praktijkoefeningen
- Interactieve discussie tijdens theorie
- Hands-on analyse van demo applicatie via JavaScript en HTTP
- Hands-on analyse van demo applicatie vanuit Studio Pro
- Analyse van verschillende oplossingsrichtingen voor gevonden kwetsbaarheden

Dirk van Veen
Ethical Hacker & Oprichter – The S-Unit
Dirk van Veen is ethisch hacker en oprichter van The S-Unit met een master in Computer Security. Hij is in 2011 begonnen als penetratietester en is binnen The S-Unit eindverantwoordelijke voor de technisch inhoudelijke kant van alle hack en consultancy activiteiten. Dirk vermaakt zich graag met het onderzoeken en vinden van kwetsbaarheden in nieuwe technologieën, zoals applicatie frameworks, cloud platformen en low code oplossingen. Naast zijn werk binnen The S-Unit organiseert Dirk met regelmaat hack wedstrijden voor o.a. Hack in the Box (2012-2019) en Platform voor Informatiebeveiliging (2014 – heden) en geeft hij wekelijks stijldansles aan studenten in Amsterdam.
Trainingslocatie
Online
Lunch
Lunch is niet bij deze training inbegrepen.
Begin- en eindtijd
09:00 t/m 17:00 CEST.
Taal
Geef op voorhand aan in welke taal je de training wilt. We bieden de training zowel in het Engels als Nederlands.
Mis je informatie of heb je speciale wensen?
Stuur een e-mail naar [email protected] en we nemen zo snel mogelijk contact met je op!