Το EITC/IS/WAPT Web Applications Penetration Testing είναι το ευρωπαϊκό πρόγραμμα πιστοποίησης πληροφορικής σχετικά με τις θεωρητικές και πρακτικές πτυχές της δοκιμής διείσδυσης εφαρμογών ιστού (white hacking), συμπεριλαμβανομένων διαφόρων τεχνικών για τεχνικές spidering, σάρωσης και επίθεσης ιστοσελίδων, συμπεριλαμβανομένων εξειδικευμένων εργαλείων και σουιτών δοκιμών διείσδυσης .
Το πρόγραμμα σπουδών της δοκιμής διείσδυσης εφαρμογών Ιστού EITC/IS/WAPT καλύπτει την εισαγωγή στο Burp Suite, το web spridering και το DVWA, τη δοκιμή ωμής δύναμης με το Burp Suite, την ανίχνευση τείχους προστασίας διαδικτυακών εφαρμογών (WAF) με WAFW00F, το εύρος στόχων και το spidering, την ανακάλυψη κρυφών αρχείων με ZAP, σάρωση ευπάθειας WordPress και απαρίθμηση ονομάτων χρήστη, σάρωση εξισορρόπησης φορτίου, δέσμες ενεργειών μεταξύ τοποθεσιών, XSS – ανακλώμενο, αποθηκευμένο και DOM, επιθέσεις μεσολάβησης, διαμόρφωση του διακομιστή μεσολάβησης στο ZAP, επιθέσεις αρχείων και καταλόγων, ανακάλυψη αρχείων και καταλόγων με το DirBuster, πρακτική επιθέσεων ιστού , OWASP Juice Shop, CSRF – Cross Site Request Forgery, συλλογή cookie και reverse engineering, HTTP Attributes – cookie stealing, SQL injection, DotDotPwn – directory traversal fuzzing, iframe injection and HTML injection, Heartbleed exploit – codeje in discovery,Ploit bWAPP – Έγχυση HTML, ανακλώμενη POST, ένεση εντολών λειτουργικού συστήματος με Commix, από την πλευρά του διακομιστή περιλαμβάνει ένεση SSI, pentesting στο Docker, OverTheWire Natas, LFI and command injection, Google hacking για pentesting, Google Dorks For penetration testing, Apache2 ModSecurity, καθώς και Nginx ModSecurity, στην ακόλουθη δομή, που περιλαμβάνει ολοκληρωμένο διδακτικό περιεχόμενο βίντεο ως αναφορά για αυτήν την Πιστοποίηση EITC.
Η ασφάλεια εφαρμογών Ιστού (συχνά αναφέρεται ως Web AppSec) είναι η έννοια του σχεδιασμού ιστότοπων ώστε να λειτουργούν κανονικά ακόμη και όταν δέχονται επίθεση. Η έννοια είναι η ενσωμάτωση ενός συνόλου μέτρων ασφαλείας σε μια εφαρμογή Ιστού για την προστασία των περιουσιακών στοιχείων της από εχθρικούς πράκτορες. Οι εφαρμογές Ιστού, όπως όλα τα λογισμικά, είναι επιρρεπείς σε ελαττώματα. Ορισμένα από αυτά τα ελαττώματα είναι πραγματικές ευπάθειες που μπορούν να αξιοποιηθούν, θέτοντας σε κίνδυνο τις επιχειρήσεις. Τέτοια ελαττώματα προστατεύονται μέσω της ασφάλειας εφαρμογών web. Συνεπάγεται την εφαρμογή προσεγγίσεων ασφαλούς ανάπτυξης και την εφαρμογή ελέγχων ασφαλείας καθ' όλη τη διάρκεια του κύκλου ζωής ανάπτυξης λογισμικού (SDLC), διασφαλίζοντας ότι αντιμετωπίζονται ελαττώματα σχεδιασμού και ζητήματα υλοποίησης. Η διαδικτυακή δοκιμή διείσδυσης, η οποία διενεργείται από ειδικούς που στοχεύουν να αποκαλύψουν και να εκμεταλλευτούν ευπάθειες εφαρμογών ιστού χρησιμοποιώντας μια λεγόμενη προσέγγιση λευκής πειρατείας, είναι μια ουσιαστική πρακτική προκειμένου να καταστεί δυνατή η κατάλληλη άμυνα.
Ένα τεστ διείσδυσης ιστού, γνωστό και ως τεστ γραφίδας Ιστού, προσομοιώνει μια επίθεση στον κυβερνοχώρο σε μια εφαρμογή Ιστού προκειμένου να βρεθούν εκμεταλλεύσιμα ελαττώματα. Η δοκιμή διείσδυσης χρησιμοποιείται συχνά για τη συμπλήρωση ενός τείχους προστασίας διαδικτυακής εφαρμογής στο πλαίσιο της ασφάλειας εφαρμογών Ιστού (WAF). Η δοκιμή πένας, γενικά, συνεπάγεται απόπειρα διείσδυσης σε οποιονδήποτε αριθμό συστημάτων εφαρμογών (π.χ. API, διακομιστές frontend/backend) προκειμένου να βρεθούν τρωτά σημεία, όπως μη απολυμανμένες είσοδοι που είναι ευάλωτες σε επιθέσεις έγχυσης κώδικα.
Τα ευρήματα της διαδικτυακής δοκιμής διείσδυσης μπορούν να χρησιμοποιηθούν για τη διαμόρφωση των πολιτικών ασφαλείας WAF και την αντιμετώπιση των ευπαθειών που εντοπίστηκαν.
Η δοκιμή διείσδυσης έχει πέντε βήματα.
Η διαδικασία δοκιμής στυλό χωρίζεται σε πέντε βήματα.
- Σχεδιασμός και προσκοπισμός
Ο καθορισμός του πεδίου και των στόχων μιας δοκιμής, συμπεριλαμβανομένων των συστημάτων που πρέπει να αντιμετωπιστούν και των μεθοδολογιών δοκιμών που θα χρησιμοποιηθούν, είναι το πρώτο στάδιο.
Για να κατανοήσετε καλύτερα τον τρόπο λειτουργίας ενός στόχου και τις πιθανές αδυναμίες του, συγκεντρώστε πληροφορίες (π.χ. ονόματα δικτύου και τομέα, διακομιστής αλληλογραφίας). - Σάρωση
Το επόμενο στάδιο είναι να καταλάβουμε πώς θα αντιδράσει η εφαρμογή-στόχος σε διαφορετικούς τύπους απόπειρες εισβολής. Αυτό συνήθως επιτυγχάνεται χρησιμοποιώντας τις ακόλουθες μεθόδους:
Στατική ανάλυση – Εξέταση του κώδικα μιας εφαρμογής για να προβλέψετε πώς θα συμπεριφερθεί όταν εκτελείται. Με ένα μόνο πέρασμα, αυτά τα εργαλεία μπορούν να σαρώσουν ολόκληρο τον κώδικα.
Η δυναμική ανάλυση είναι η διαδικασία επιθεώρησης του κώδικα μιας εφαρμογής ενώ αυτή λειτουργεί. Αυτή η μέθοδος σάρωσης είναι πιο πρακτική επειδή παρέχει μια προβολή σε πραγματικό χρόνο της απόδοσης μιας εφαρμογής. - Απόκτηση πρόσβασης
Για να βρείτε τις αδυναμίες ενός στόχου, αυτό το βήμα χρησιμοποιεί επιθέσεις διαδικτυακών εφαρμογών, όπως δέσμες ενεργειών μεταξύ τοποθεσιών, ένεση SQL και κερκόπορτες. Για να κατανοήσουν τη ζημιά που μπορεί να προκαλέσουν αυτές οι ευπάθειες, οι ελεγκτές προσπαθούν να τις εκμεταλλευτούν κλιμακώνοντας τα προνόμια, κλέβοντας δεδομένα, παρεμποδίζοντας την κυκλοφορία κ.λπ. - Διατήρηση πρόσβασης
Ο σκοπός αυτού του σταδίου είναι να αξιολογηθεί εάν η ευπάθεια μπορεί να αξιοποιηθεί για να εδραιωθεί μια μακροπρόθεσμη παρουσία στο παραβιασμένο σύστημα, επιτρέποντας σε έναν κακό παράγοντα να έχει πρόσβαση σε βάθος. Ο στόχος είναι να μιμηθούν προηγμένες επίμονες απειλές, οι οποίες μπορούν να παραμείνουν σε ένα σύστημα για μήνες προκειμένου να κλέψουν τις πιο ευαίσθητες πληροφορίες μιας εταιρείας. - Ανάλυση
Τα αποτελέσματα της δοκιμής διείσδυσης τοποθετούνται στη συνέχεια σε μια αναφορά που περιλαμβάνει πληροφορίες όπως:
Τρωτά σημεία που αξιοποιήθηκαν λεπτομερώς
Δεδομένα που ελήφθησαν ήταν ευαίσθητα
Ο χρόνος που ο ελεγκτής στυλό μπόρεσε να μείνει απαρατήρητος στο σύστημα.
Οι ειδικοί σε θέματα ασφάλειας χρησιμοποιούν αυτά τα δεδομένα για να βοηθήσουν στη διαμόρφωση των ρυθμίσεων WAF μιας επιχείρησης και άλλων λύσεων ασφαλείας εφαρμογών, προκειμένου να επιδιορθωθούν τα τρωτά σημεία και να αποτραπούν περαιτέρω επιθέσεις.
Μέθοδοι δοκιμής διείσδυσης
- Οι δοκιμές εξωτερικής διείσδυσης επικεντρώνονται σε περιουσιακά στοιχεία μιας εταιρείας που είναι ορατά στο διαδίκτυο, όπως η ίδια η διαδικτυακή εφαρμογή, ο ιστότοπος της εταιρείας, καθώς και οι διακομιστές ονομάτων ηλεκτρονικού ταχυδρομείου και τομέα (DNS). Στόχος είναι η απόκτηση πρόσβασης και η εξαγωγή χρήσιμων πληροφοριών.
- Η εσωτερική δοκιμή συνεπάγεται ότι ένας ελεγκτής έχει πρόσβαση σε μια εφαρμογή πίσω από το τείχος προστασίας μιας εταιρείας που προσομοιώνει μια εχθρική επίθεση εμπιστευτικών πληροφοριών. Αυτό δεν είναι απαραίτητο μια προσομοίωση απατεώνων υπαλλήλων. Ένας υπάλληλος του οποίου τα διαπιστευτήρια αποκτήθηκαν ως αποτέλεσμα μιας απόπειρας phishing είναι ένα κοινό σημείο εκκίνησης.
- Το τυφλό τεστ είναι όταν στον ελεγκτή παρέχεται απλώς το όνομα της εταιρείας που ελέγχεται. Αυτό επιτρέπει στους εμπειρογνώμονες ασφαλείας να δουν πώς μπορεί να παίζεται μια πραγματική επίθεση εφαρμογής σε πραγματικό χρόνο.
- Διπλή τυφλή δοκιμή: Σε μια διπλή τυφλή δοκιμή, οι επαγγελματίες ασφαλείας δεν γνωρίζουν εκ των προτέρων την προσομοιωμένη επίθεση. Δεν θα έχουν χρόνο να στηρίξουν τις οχυρώσεις τους πριν από μια απόπειρα παραβίασης, όπως στον πραγματικό κόσμο.
- Στοχευμένες δοκιμές – σε αυτό το σενάριο, ο δοκιμαστής και το προσωπικό ασφαλείας συνεργάζονται και παρακολουθούν ο ένας τις κινήσεις του άλλου. Αυτή είναι μια εξαιρετική άσκηση εκπαίδευσης που δίνει σε μια ομάδα ασφαλείας ανατροφοδότηση σε πραγματικό χρόνο από την οπτική γωνία ενός χάκερ.
Τείχη προστασίας εφαρμογών Ιστού και δοκιμή διείσδυσης
Οι δοκιμές διείσδυσης και τα WAF είναι δύο ξεχωριστές αλλά συμπληρωματικές τεχνικές ασφάλειας. Ο ελεγκτής είναι πιθανό να αξιοποιήσει δεδομένα WAF, όπως αρχεία καταγραφής, για να βρει και να εκμεταλλευτεί τις αδύναμες περιοχές μιας εφαρμογής σε πολλούς τύπους δοκιμών με στυλό (με εξαίρεση τα τυφλά και διπλά τυφλά τεστ).
Με τη σειρά τους, τα δεδομένα δοκιμών στυλό μπορούν να βοηθήσουν τους διαχειριστές WAF. Μετά την ολοκλήρωση μιας δοκιμής, οι διαμορφώσεις WAF μπορούν να τροποποιηθούν για την προστασία από τα ελαττώματα που ανιχνεύονται κατά τη διάρκεια της δοκιμής.
Τέλος, η δοκιμή πένας ικανοποιεί ορισμένες από τις απαιτήσεις συμμόρφωσης των μεθόδων ελέγχου ασφαλείας, όπως το PCI DSS και το SOC 2. Ορισμένες απαιτήσεις, όπως το PCI-DSS 6.6, μπορούν να ικανοποιηθούν μόνο εάν χρησιμοποιηθεί πιστοποιημένο WAF. Ωστόσο, λόγω των προαναφερθέντων πλεονεκτημάτων και της δυνατότητας τροποποίησης των ρυθμίσεων WAF, αυτό δεν καθιστά τη δοκιμή πένας λιγότερο χρήσιμη.
Ποια είναι η σημασία των δοκιμών ασφάλειας ιστού;
Ο στόχος των δοκιμών ασφάλειας ιστού είναι ο εντοπισμός ελαττωμάτων ασφαλείας στις εφαρμογές Ιστού και η ρύθμισή τους. Το επίπεδο εφαρμογής είναι ο πρωταρχικός στόχος (δηλαδή, τι εκτελείται στο πρωτόκολλο HTTP). Η αποστολή διαφορετικών μορφών εισόδου σε μια εφαρμογή Ιστού για να προκαλέσει προβλήματα και να κάνει το σύστημα να ανταποκριθεί με απροσδόκητους τρόπους είναι μια κοινή προσέγγιση για τον έλεγχο της ασφάλειάς της. Αυτές οι «αρνητικές δοκιμές» κοιτάζουν για να δουν εάν το σύστημα κάνει κάτι που δεν προοριζόταν να επιτύχει.
Είναι επίσης ζωτικής σημασίας να συνειδητοποιήσουμε ότι οι δοκιμές ασφάλειας Ιστού συνεπάγονται περισσότερα από την απλή επαλήθευση των χαρακτηριστικών ασφαλείας της εφαρμογής (όπως έλεγχος ταυτότητας και εξουσιοδότηση). Είναι επίσης σημαντικό να διασφαλιστεί ότι άλλες λειτουργίες αναπτύσσονται με ασφάλεια (π.χ. επιχειρηματική λογική και χρήση κατάλληλης επικύρωσης εισόδου και κωδικοποίησης εξόδου). Ο σκοπός είναι να βεβαιωθείτε ότι οι λειτουργίες της εφαρμογής Web είναι ασφαλείς.
Ποιοι είναι οι πολλοί τύποι αξιολογήσεων ασφαλείας;
- Δοκιμή για δυναμική ασφάλεια εφαρμογών (DAST). Αυτή η αυτοματοποιημένη δοκιμή ασφαλείας εφαρμογών είναι η πλέον κατάλληλη για εφαρμογές χαμηλού κινδύνου, εσωτερικές που πρέπει να πληρούν τις κανονιστικές απαιτήσεις ασφάλειας. Ο συνδυασμός του DAST με ορισμένες μη αυτόματες δοκιμές ασφάλειας στο διαδίκτυο για κοινά τρωτά σημεία είναι η καλύτερη στρατηγική για εφαρμογές μεσαίου κινδύνου και κρίσιμες εφαρμογές που υφίστανται μικρές αλλαγές.
- Έλεγχος ασφαλείας για στατικές εφαρμογές (SAST). Αυτή η στρατηγική ασφάλειας εφαρμογών περιλαμβάνει τόσο αυτοματοποιημένες όσο και μη αυτόματες μεθόδους δοκιμής. Είναι ιδανικό για τον εντοπισμό σφαλμάτων χωρίς να χρειάζεται να εκτελείτε εφαρμογές σε ζωντανό περιβάλλον. Επιτρέπει επίσης στους μηχανικούς να σαρώνουν τον πηγαίο κώδικα για να εντοπίσουν και να διορθώσουν ελαττώματα ασφαλείας λογισμικού με συστηματικό τρόπο.
- Εξέταση διείσδυσης. Αυτό το μη αυτόματο τεστ ασφάλειας εφαρμογών είναι ιδανικό για βασικές εφαρμογές, ιδιαίτερα εκείνες που υφίστανται σημαντικές αλλαγές. Για την εύρεση προηγμένων σεναρίων επίθεσης, η αξιολόγηση χρησιμοποιεί επιχειρηματική λογική και δοκιμές που βασίζονται σε αντιπάλους.
- Εφαρμογή Αυτοπροστασίας στο χρόνο εκτέλεσης (RASP). Αυτή η αυξανόμενη μέθοδος ασφάλειας εφαρμογών ενσωματώνει μια ποικιλία τεχνικών τεχνολογίας για να οργανώσει μια εφαρμογή, έτσι ώστε οι απειλές να μπορούν να παρακολουθούνται και, ελπίζουμε, να αποτρέπονται σε πραγματικό χρόνο καθώς εμφανίζονται.
Τι ρόλο παίζει η δοκιμή ασφάλειας εφαρμογών στη μείωση του κινδύνου της εταιρείας;
Η συντριπτική πλειοψηφία των επιθέσεων σε διαδικτυακές εφαρμογές περιλαμβάνουν:
- SQL Injection
- XSS (Σενάρια μεταξύ ιστοτόπων)
- Εκτέλεση εξ αποστάσεως εντολών
- Επίθεση διέλευσης μονοπατιού
- Περιορισμένη πρόσβαση σε περιεχόμενο
- Παραβιασμένοι λογαριασμοί χρηστών
- Εγκατάσταση κακόβουλου κώδικα
- Χαμένα έσοδα από πωλήσεις
- Η εμπιστοσύνη των πελατών διαβρώνεται
- Βλάπτει τη φήμη της μάρκας
- Και πολλές άλλες επιθέσεις
Στο σημερινό περιβάλλον Διαδικτύου, μια εφαρμογή Ιστού μπορεί να ζημιωθεί από μια ποικιλία προκλήσεων. Το παραπάνω γράφημα απεικονίζει μερικές από τις πιο συνηθισμένες επιθέσεις που διαπράττονται από εισβολείς, καθεμία από τις οποίες μπορεί να προκαλέσει σημαντική ζημιά σε μια μεμονωμένη εφαρμογή ή μια ολόκληρη επιχείρηση. Η γνώση των πολλών επιθέσεων που καθιστούν μια εφαρμογή ευάλωτη, καθώς και των πιθανών αποτελεσμάτων μιας επίθεσης, επιτρέπει στην εταιρεία να επιλύσει τα τρωτά σημεία εκ των προτέρων και να τα δοκιμάσει αποτελεσματικά.
Μπορούν να καθιερωθούν έλεγχοι μετριασμού σε όλες τις πρώιμες φάσεις του SDLC για να αποφευχθούν τυχόν προβλήματα εντοπίζοντας τη βασική αιτία της ευπάθειας. Κατά τη διάρκεια μιας δοκιμής ασφαλείας εφαρμογών Ιστού, η γνώση του τρόπου λειτουργίας αυτών των απειλών μπορεί επίσης να χρησιμοποιηθεί για τη στόχευση γνωστών σημείων ενδιαφέροντος.
Η αναγνώριση του αντίκτυπου μιας επίθεσης είναι επίσης σημαντική για τη διαχείριση του κινδύνου της εταιρείας, καθώς οι επιπτώσεις μιας επιτυχημένης επίθεσης μπορούν να χρησιμοποιηθούν για τον προσδιορισμό της σοβαρότητας της ευπάθειας συνολικά. Εάν εντοπιστούν τρωτά σημεία κατά τη διάρκεια μιας δοκιμής ασφαλείας, ο προσδιορισμός της σοβαρότητάς τους επιτρέπει στην εταιρεία να δώσει προτεραιότητα στις προσπάθειες αποκατάστασης πιο αποτελεσματικά. Για να μειώσετε τον κίνδυνο για την εταιρεία, ξεκινήστε με κρίσιμα ζητήματα σοβαρότητας και προχωρήστε προς τα κάτω για να μειώσετε τον αντίκτυπο.
Πριν εντοπίσετε ένα ζήτημα, η αξιολόγηση του πιθανού αντίκτυπου κάθε προγράμματος στη βιβλιοθήκη εφαρμογών της εταιρείας θα σας βοηθήσει να δώσετε προτεραιότητα στις δοκιμές ασφάλειας εφαρμογών. Οι δοκιμές ασφαλείας Wenb μπορούν να προγραμματιστούν για να στοχεύουν πρώτα τις κρίσιμες εφαρμογές της εταιρείας, με πιο στοχευμένες δοκιμές για τη μείωση του κινδύνου έναντι της επιχείρησης. Με μια καθιερωμένη λίστα εφαρμογών υψηλού προφίλ, οι δοκιμές ασφαλείας wenb μπορούν να προγραμματιστούν για να στοχεύουν πρώτα τις κρίσιμες εφαρμογές της εταιρείας, με πιο στοχευμένες δοκιμές για τη μείωση του κινδύνου έναντι της επιχείρησης.
Κατά τη διάρκεια μιας δοκιμής ασφάλειας διαδικτυακών εφαρμογών, ποιες δυνατότητες πρέπει να εξεταστούν;
Κατά τη διάρκεια δοκιμών ασφαλείας εφαρμογών Ιστού, λάβετε υπόψη την ακόλουθη μη εξαντλητική λίστα δυνατοτήτων. Μια αναποτελεσματική εφαρμογή του καθενός θα μπορούσε να οδηγήσει σε αδυναμίες, θέτοντας την εταιρεία σε κίνδυνο.
- Διαμόρφωση της εφαρμογής και του διακομιστή. Οι ρυθμίσεις κρυπτογράφησης/κρυπτογράφησης, οι διαμορφώσεις διακομιστή Ιστού και ούτω καθεξής είναι όλα παραδείγματα πιθανών ελαττωμάτων.
- Επικύρωση εισόδου και χειρισμός σφαλμάτων Η κακή επεξεργασία εισόδου και εξόδου οδηγεί σε έγχυση SQL, δέσμες ενεργειών μεταξύ τοποθεσιών (XSS) και άλλα τυπικά ζητήματα έγχυσης.
- Έλεγχος ταυτότητας και συντήρηση συνεδριών. Τρωτά σημεία που θα μπορούσαν να οδηγήσουν σε πλαστοπροσωπία χρήστη. Η ισχύς των διαπιστευτηρίων και η προστασία πρέπει επίσης να λαμβάνονται υπόψη.
- Εξουσιοδότηση. Η ικανότητα της εφαρμογής να προστατεύει από κάθετες και οριζόντιες κλιμακώσεις προνομίων δοκιμάζεται.
- Λογική στις επιχειρήσεις. Τα περισσότερα προγράμματα που παρέχουν επιχειρηματική λειτουργικότητα βασίζονται σε αυτά.
- Λογική στο τέλος του πελάτη. Αυτός ο τύπος λειτουργίας γίνεται όλο και πιο κοινός με σύγχρονες ιστοσελίδες με JavaScript, καθώς και σε ιστοσελίδες που χρησιμοποιούν άλλους τύπους τεχνολογιών από την πλευρά του πελάτη (π.χ. μικροεφαρμογές Silverlight, Flash, Java).
Για να εξοικειωθείτε λεπτομερώς με το πρόγραμμα σπουδών πιστοποίησης, μπορείτε να επεκτείνετε και να αναλύσετε τον παρακάτω πίνακα.
Το Πρόγραμμα Σπουδών Πιστοποίησης Δοκιμών Διείσδυσης Εφαρμογών Ιστού EITC/IS/WAPT παραπέμπει σε διδακτικό υλικό ανοικτής πρόσβασης σε μορφή βίντεο. Η μαθησιακή διαδικασία χωρίζεται σε μια δομή βήμα προς βήμα (προγράμματα -> μαθήματα -> θέματα) που καλύπτει σχετικά μέρη του προγράμματος σπουδών. Παρέχονται επίσης απεριόριστες συμβουλές με ειδικούς στον τομέα.
Για λεπτομέρειες σχετικά με τη διαδικασία πιστοποίησης ελέγξτε Πως δουλεύει.
Κατεβάστε το πλήρες προπαρασκευαστικό υλικό αυτομάθησης εκτός σύνδεσης για το πρόγραμμα Δοκιμής διείσδυσης εφαρμογών Ιστού EITC/IS/WAPT σε αρχείο PDF
Προπαρασκευαστικά υλικά EITC/IS/WAPT – στάνταρ έκδοση
Προπαρασκευαστικό υλικό EITC/IS/WAPT – εκτεταμένη έκδοση με ερωτήσεις κριτικής