Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Wat is een Mendix pentest

Icon van een Mendix pentest

Mendix is een low-code platform van Siemens waarmee organisaties snel zakelijke applicaties bouwen. Door de visuele ontwikkelomgeving hoeft u geen ervaren programmeur te zijn om een bedrijfskritische applicatie te maken. Dat scheelt tijd en ontwikkelkosten.

Diezelfde toegankelijkheid heeft een keerzijde. Wie een Mendix applicatie bouwt zonder veel security-kennis, maakt al snel fouten in de entity access rules, de XPath constraints of de permissions op een microflow. Het gevolg is dat gevoelige gegevens zichtbaar worden voor mensen die er niets te zoeken hebben.

Een Mendix pentest (kort voor Mendix penetratietest, ook wel Mendix application security test genoemd) richt zich op de kwetsbaarheden die juist bij Mendix horen. Onze pentesters onderzoeken de entity-security, de microflows, de API-communicatie en de custom widgets, en sporen zo de zwakke plekken op voordat een kwaadwillende hacker ze vindt.

Waarom en wanneer is een Mendix penetratietest belangrijk?

Mendix applicaties zijn vaak gekoppeld aan ERP-systemen, databases en externe API’s, en hebben daardoor directe toegang tot belangrijke bedrijfsdata. Eén fout in de entity-security of een kwetsbare XPath constraint kan ervoor zorgen dat gevoelige gegevens op straat liggen of dat een aanvaller bij uw kernsystemen kan.

Een Mendix pentest is verstandig in onder meer deze situaties:

  • Voor de livegang van een nieuwe applicatie, zodat u de entity-security en de API-beveiliging controleert voordat de app in productie gaat
  • Om aan te tonen dat u voldoet aan GDPR, ISO 27001, SOC 2 of NIS2
  • Na een grote update of een nieuwe module, omdat nieuwe functionaliteit een gat in de entity-security kan openen
  • Bij het toevoegen van nieuwe gebruikersrollen, om de permissions op entity- en microflowniveau te controleren
  • Als terugkerende controle, bijvoorbeeld door de entity-security en API-communicatie jaarlijks te laten testen

Laat een Mendix applicatie regelmatig testen. Citizen developers passen entity security rules vaak aan zonder de gevolgen voor de beveiliging volledig te overzien.

Welke vormen van Mendix penetratietests bestaan er?

Een Mendix pentest kan op drie manieren. Het verschil zit in hoeveel voorkennis en toegang de pentester vooraf krijgt.

Black box Mendix pentest (externe aanval)

icon van een blackbox pentest

Bij een blackbox Mendix pentest kruipt onze pentester in de huid van een aanvaller zonder voorkennis van de applicatie. Zo komt de test het dichtst bij een echte aanval van buitenaf.

  • Geen toegang tot de Mendix modeler of interne informatie
  • Testen vanuit het oogpunt van een externe aanvaller
  • De meest realistische nabootsing van een echte aanval

Grey box Mendix pentest (beperkte toegang)

icon van een greybox pentest

Een greybox Mendix pentest zit tussen blackbox en whitebox in. De pentester krijgt beperkte informatie en toegang, wat de test realistisch én efficiënt houdt.

  • Toegang tot de Mendix modeler en testaccounts
  • Basisinformatie over de functionaliteiten van de applicatie
  • Een balans tussen realisme en efficiëntie
  • De meestgekozen vorm voor een Mendix pentest

White box Mendix pentest (volledige toegang)

icon van een whitebox pentest

Bij een whitebox Mendix pentest krijgt onze pentester alle beschikbare informatie, inclusief de Mendix modeler en de broncode. Daarmee onderzoeken we de applicatie het grondigst.

  • Volledige toegang tot de Mendix modeler en de broncode
  • Testen met verschillende gebruikersrollen en rechten
  • Een grondig onderzoek van alle functionaliteiten
  • De meest tijdrovende, maar ook de meest complete vorm
  • Geschikt voor belangrijke applicaties en voor compliance

Waarom kiezen voor Hackify?

  • Onze ethische hackers hebben minimaal 5 jaar ervaring en 3 certificaten, met de juiste expertise per testonderdeel. Dat ligt boven het branchegebruik van 1 jaar en 1 certificaat.
    • Onze pentesters deden responsible disclosures bij onder meer Philips, Zoom, Oracle en de Politie.
    • Ze wonnen prijzen bij hackcompetities als Hack010, PVIB CTF, Hackerhotel en HackTheHague.
  • Wij kennen het Mendix security-model en de The S-Unit Top 10 Mendix Vulnerabilities.
  • U heeft direct contact met de pentester die uw test uitvoert, zonder accountmanager ertussen.
  • Een Mendix pentest kunnen wij meestal binnen 2 tot 3 weken inplannen.

Meer over onze aanpak en expertise leest u op de pagina over ons.

Plan uw Mendix pentest

Wilt u weten hoe kwetsbaar uw Mendix applicatie is? Neem dan vrijblijvend contact met ons op. We vertellen u graag meer over ons bedrijf en onze aanpak, en horen graag wat de scope van uw applicatie is.

Elke Mendix applicatie is anders, dus stellen wij voor elke opdracht een voorstel op maat op. Een pentest kan binnen 3 weken van start. De uitvoering duurt, afhankelijk van het type test en de complexiteit, tussen 3 dagen en 2 weken.

Klaar om uw Mendix-app te laten testen?

Wij toetsen de access rules, microflows en API-koppelingen van uw Mendix-applicatie tegen de OWASP-richtlijnen voor low-code. Vraag een voorstel op maat aan.

Neem contact op

Of mail ons direct via [email protected]

Veelgestelde vragen over Mendix penetratietests

Wat is het verschil tussen een Mendix pentest en een webapplicatie pentest?

Een Mendix pentest richt zich op applicaties die met het Mendix low-code platform zijn gebouwd. Wij kijken dan naar:

  • Entity-security: entity access rules, XPath constraints en permissions op attribuutniveau
  • Microflows: kwetsbaarheden in de business logic van microflows en nanoflows
  • API-security: de Mendix REST API en data die via endpoints naar buiten lekt
  • Domeinmodel: permissions op het datamodel en de associaties tussen entities
  • Custom widgets en Java-acties: de beveiliging van zelf ontwikkelde componenten
  • Gepubliceerde integraties: Mendix API-endpoints en de data mapping daarachter
  • Gebruikersrollen en module permissions: de autorisatie binnen Mendix

Een webapplicatie pentest test de hele technische stack. Een Mendix pentest kijkt juist naar wat eigen is aan het platform, zoals entity-security, microflow permissions en de Mendix API.

Wat kost een Mendix pentest?

De prijs van een Mendix pentest is afhankelijk van de scope, de grootte van de applicatie en andere aspecten zoals maatwerk en specifieke vereisten. Na een intakegesprek stellen wij een passend voorstel voor u op dat aansluit bij uw situatie.

Welke Mendix pentest certificeringen zijn er?

Er bestaat geen aparte certificering voor het pentesten van Mendix. Wel zijn alle erkende certificeringen voor webapplicatie-security van toepassing op een Mendix pentest:

  • OSCP - Offensive Security Certified Professional
  • OSWA - Offensive Security Web Assessor
  • OSWE - Offensive Security Web Expert
  • eWPT - eLearnSecurity Web Application Penetration Tester
  • eWPTX - eLearnSecurity Web Application Penetration Tester eXtreme
  • HTB CWES - Hack The Box Certified Web Exploitation Specialist
  • HTB CWEE - Hack The Box Certified Web Exploitation Expert
  • BSCP - Burp Suite Certified Practitioner

Deze certificeringen staan voor een hoog niveau op het gebied van webapplicatie-security, en dat geldt ook voor Mendix applicaties.

Welke methodieken worden er gebruikt bij een Mendix pentest?

Bij een Mendix pentest werken wij volgens internationaal erkende methodieken:

Daarnaast houden wij rekening met de OWASP Top 10, de NCSC-richtlijnen, CWE (Common Weakness Enumeration) en CVSS (Common Vulnerability Scoring System) voor de scoring van de bevindingen.

Welke tools worden er gebruikt bij een Mendix pentest?

Onze pentesters gebruiken bij een Mendix pentest onder meer deze tools:

  • Burp Suite - Webproxy voor Mendix API traffic analyse en manipulatie
  • Nmap - Netwerk scanning en service detectie
  • Gobuster - Directory en file enumeration
  • TestSSL - SSL/TLS configuratie testing
  • OWASP ZAP - Open source Mendix security scanner
  • Wfuzz - Web fuzzer voor Mendix parameter testing

Wij combineren deze tools altijd met handmatig onderzoek door een ervaren ethical hacker.

Hoe lang duurt een Mendix penetratietest?

Hoe lang een Mendix pentest duurt, hangt af van de complexiteit en de testvorm die u kiest:

  • Black box Mendix pentest: gemiddeld 3 tot 5 dagen
  • Grey box Mendix pentest: gemiddeld een week
  • White box Mendix pentest: gemiddeld 1 tot 2 weken

Heeft u een beperkt budget? Dan kunt u ook kiezen voor een timeboxed pentest. U geeft aan hoeveel budget er is en wij bepalen daarmee hoeveel tijd we aan de test besteden. We leggen de focus op de belangrijkste en best vindbare bevindingen. Dat is een goede eerste stap voor organisaties die nog niet eerder een pentest hebben laten doen.

Wat zijn de meest voorkomende kwetsbaarheden bij Mendix applicaties?

De kwetsbaarheden die het vaakst in Mendix applicaties voorkomen, staan in de The S-Unit Top 10 Mendix Vulnerabilities:

  1. TSU-01, insecure user roles: verkeerd geconfigureerde module rollen en onnodige adminrechten
  2. TSU-02, insecure entity access: onjuiste entity access rules en XPath constraints
  3. TSU-03, insecure microflows: ontbrekende security checks en onveilige business logic
  4. TSU-04, insecure published integrations: ontbrekende authenticatie en onveilige data mapping
  5. TSU-05, insecure consumption of integrations: onveilige URL-structuren en gebrekkige datavalidatie
  6. TSU-06, use of obsolete components: verouderde runtimes, Java-libraries en marketplace modules
  7. TSU-07, insecure custom authentication: onveilige login handlers en request handlers
  8. TSU-08, insecure custom Java: XPath injections en onveilige XML-parsers
  9. TSU-09, insecure UI components: zichtbare gevoelige constants en XSS in widgets
  10. TSU-10, insecure cloud deployments: ontbrekende CSP-headers en zichtbare documentatie

Deze kwetsbaarheden vormen de basis van elke Mendix pentest. Wij lopen ze stap voor stap na volgens de Mendix security best practices.