Ручне тестування додатків на проникнення для B2B SaaS

Знаходимо критичні вразливості та складні ланцюжки атак у вашому застосунку та API — щоб знизити ризик зламу, розблокувати угоди з Enterprise-клієнтами та пройти аудит SOC 2 / ISO 27001.

Зв'язатися з нами

Нам довіряють B2B SaaS-платформи

Enterprise-компанії наймають нас для перевірки своїх SaaS-постачальників

Знайома ситуація?

Угода з Enterprise

Угоду з Enterprise-клієнтом заблоковано на перевірці безпеки.

Закупівлі потенційного клієнта вимагають свіжий звіт про пентест від незалежної сторони. Угода не зрушить, поки ви його не надасте — а в вас його немає.

Compliance

У календарі — аудит SOC 2 або ISO 27001.

Аудитор вимагає незалежний пентест. Потрібен звіт, який пройде з першого разу — без того, щоб на тижні знімати інженерів з roadmap.

Ризик витоку

Сподіваєтеся, що наступний гучний інцидент буде не у вас.

Команда випускає релізи щотижня й запевняє, що продукт безпечний. Але ніхто ззовні не тестував його незалежно — і ви насправді не знаєте, що зміг би проексплуатувати атакуючий.

Після інциденту

Стався інцидент.

У вас, у сусіда по ринку чи зовсім поряд із вашою сферою. Внутрішня перевірка закрила очевидне — але клієнтам, партнерам та інвесторам потрібен незалежний звіт, щоб повірити, що проблему справді закрито.

Раунд і M&A

Наближається наступний раунд або M&A.

Інвестори та покупці позначають відсутність незалежного аудиту безпеки як ризик. Це починає впливати на оцінку — або на саму угоду.

Слабкий пентест

Останній пентест виглядав як «галочка».

Ви оплатили його, отримали PDF із малоцінним шумом, а інженери проігнорували більшість. Ви не впевнені, що продукт справді став безпечнішим.

Ціна бездіяльності

8 із 10

B2B-угод з Enterprise сьогодні буксують або зриваються без незалежного звіту про пентест.

50200%

від вашого річного ARR — типова вартість одного витоку: договірні штрафи, регуляторні санкції, відтік клієнтів і ліквідація наслідків.

60%? 80%?

Скільки клієнтів піде після публічного витоку? Будь-яка з цих цифр неприйнятна — і достатньо лише одного витоку.

Що саме тестувати

Глибоке ручне тестування всього, до чого торкаються користувачі — і всього, до чого може дотягнутися атакуючий.

Black-box

Симуляція зовнішнього атакуючого: починаємо з того, що доступне публічно.

Grey-box

Автентифіковане тестування з проходом по всіх ролях користувачів вашого застосунку.

Класи вразливостей, які шукаємо

  • Бізнес-логіка
  • Порушення контролю доступу
  • BOLA
  • BFLA
  • IDOR
  • Ескалація привілеїв
  • Обхід автентифікації
  • Керування сесіями
  • JWT
  • OAuth
  • SSO
  • SAML
  • Обхід MFA
  • Зловживання скиданням пароля
  • Account takeover
  • Ізоляція тенантів
  • Витік даних між тенантами
  • SQL-ін'єкції
  • NoSQL-ін'єкції
  • Ін'єкції команд
  • LDAP-ін'єкції
  • Ін'єкції шаблонів
  • Reflected XSS
  • Stored XSS
  • DOM XSS
  • SSRF
  • XXE
  • CSRF
  • Mass assignment
  • Стани гонитви
  • Небезпечна десеріалізація
  • Завантаження файлів
  • Path traversal
  • Відкриті редиректи
  • Subdomain takeover
  • Rate limiting
  • Зловживання бізнес-логікою
  • Слабка криптографія
  • Cache poisoning
  • HTTP request smuggling
  • Розкриття інформації
  • Помилки конфігурації
  • GraphQL-ін'єкції
  • Зловживання GraphQL introspection
  • Авторизація API
  • Витік API-ключів
  • Зловживання webhook
  • Replay-атаки
  • DoS на рівні логіки

Поверхня застосунку до покриття

  • Веб-фронтенд
  • Веб-бекенд
  • REST API
  • GraphQL API
  • Публічні API
  • Внутрішні API
  • Мобільні API
  • Webhooks
  • WebSockets
  • Автентифікація
  • Авторизація
  • SSO
  • SAML
  • OAuth
  • MFA
  • Скидання пароля
  • Відновлення акаунта
  • Керування сесіями
  • Ролі користувачів
  • Моделі прав
  • Межі multi-tenant
  • Керування тенантами
  • Адмін-панелі
  • Внутрішні інструменти
  • Завантаження файлів
  • Доступ до файлів
  • Сторонні інтеграції
  • Платіжні потоки
  • Логіка білінгу
  • Пошук
  • Експорт
  • Імпорт
  • Фонові задачі
  • Асинхронні черги
  • Логіка email і сповіщень
  • Субдомени
  • Забуті активи

Що означає ручне насправді

Більшість фахівців із безпеки зупиняються на знахідці вразливості. Для нас це лише стартова точка.

Приклад: SQL-ін'єкція

Рівень 1 — Поверхневий

Знайти й позначити

Типовий результат у сканерів, фрилансерів, bug bounty

Сканер виявляє SQL-ін'єкцію в URL-параметрі. У звіті — позначка «High». І нічого більше.

Рівень 2 — Стандарт

Підтвердити та зафіксувати

Типовий результат у більшості підрядників із пентесту

Тестер підтверджує ін'єкцію, дістає кілька записів користувачів як доказ, фіксує знахідку. На цьому роботу завершено.

Рівень 3 — Глибокий

Ланцюжок і реальний вплив

Типовий результат у XRAY CyberSecurity

Знаходимо SQLi, витягуємо записи користувачів, зіставляємо з обліковими даними з забутого бекапу на сусідньому субдомені, виділяємо цілі з максимальною цінністю, експлуатуємо дефект ізоляції тенантів, збираємо кастомний інструмент для отримання адміністративного доступу — і демонструємо шлях до компрометації даних вашого Enterprise-клієнта.

Приклад: Cross-Site Scripting

Рівень 1 — Поверхневий

Знайти й позначити

Typical result for scanners, freelancers, bug bounty

Сканер знаходить reflected XSS у полі пошуку. Позначено як «Medium». Включено до списку.

Рівень 2 — Стандарт

Підтвердити та зафіксувати

Typical result for most pentest vendors

Тестер підтверджує XSS, демонструє popup як PoC із доступом до токена сесії, оформлює знахідку. Готово.

Рівень 3 — Глибокий

Ланцюжок і реальний вплив

Typical result for XRAY CyberSecurity

Знаходимо XSS, збираємо PoC, що ексфільтрує токени сесій, доставляємо його користувачам платформи, збираємо токени, через дефект валідації ролей підвищуємо привілеї, тим самим способом атакуємо адміністраторів, крадемо адмінські токени, перехоплюємо керування тенантом — і демонструємо захоплення платформи, разом зі шляхом до компрометації Enterprise-клієнтів.

Кастомні ланцюжки

У кожного SaaS — свій ланцюжок атак

У вашій платформі він є — можливо, не один — вбудований в архітектуру, бізнес-логіку та API.

Іноді ланцюжок веде до повної компрометації. Іноді ваші захисти ламають його посередині — і ми фіксуємо, де саме та чому.

У будь-якому разі: ви бачите рівно те, що бачить атакуючий.

Не впевнені, що включити в скоуп для вашого продукту? Підберемо оптимальний варіант разом.

З вами зв'яжеться senior-пентестер (не менеджер з продажу) і чесно скаже, що реально варто тестувати.

Зв'язатися з нами Записатися на дзвінок

Що ви отримаєте

П'ять артефактів — розрахованих на тих, хто справді ними користуватиметься: ваші інженери, ваш C-level, аудитори та Enterprise-клієнти.

Зразок артефактів XRAY CyberSecurity: Технічний звіт, Стислий звіт для керівництва, Звіт про повторне тестування і Сертифікат безпеки зверху

Хочете побачити, як вони виглядають насправді?

Отримати приклад звіту

Реальна структура, реальні знахідки, реальний формат. Саме ті документи, які побачить ваша команда й аудитори.

Терміновий проміжний звіт

Знайдемо Critical — дізнаєтеся того ж дня.

Якщо в процесі роботи ми виявимо вразливість рівня Critical, що потребує негайних дій, ви отримаєте сповіщення з кроками відтворення та рекомендаціями. Ми продовжуємо тестувати, ви паралельно починаєте усувати. Без очікування фінального звіту.

Для вашої інженерної команди, вашого CTO

Технічний звіт

Пріоритизовані знахідки, з якими інженери можуть розпочати роботу того ж дня.

Кожна вразливість із кроками відтворення, PoC-експлуатацією, оцінкою бізнес-впливу та пріоритизованою дорожньою картою усунення. Без false-positive. Без зайвого. Зроблено так, щоб ваші розробники точно знали, що й у якому порядку виправляти.

Для ваших інженерів, вашого CTO, вашої команди безпеки

Стислий звіт для керівництва

Те, що дійсно треба знати раді та інвесторам.

Звіт бізнес-мовою: security-postur вашого продукту, виявлені ризики, їхній потенційний бізнес-вплив і шлях усунення. Написаний для CEO, рад, інвесторів і Enterprise-закупівель — не для інженерів.

Для вашого CEO, вашої ради, інвесторів, контрагентів M&A та ваших клієнтів

Звіт про повторне тестування

Перевірений доказ того, що виправлення працюють.

Після того як ваша команда усуне знахідки, ми перевіряємо кожну тим самим способом експлуатації, щоб підтвердити, що виправлення тримається. Оновлений звіт — ваш доказ того, що вразливості справді закрито, а не «закрито» на папері.

Для ваших аудиторів, ваших Enterprise-клієнтів

Сертифікат безпеки

Публічний артефакт, який можна показати клієнтам і потенційним замовникам.

Після усунення та повторного тестування ми видаємо офіційний сертифікат, що підтверджує: продукт пройшов глибокий ручний пентест. Використовуйте його на сайті, в анкетах безпеки, у переговорах із Enterprise — це той документ, який хочуть бачити ваші потенційні клієнти та їхні закупівлі.

Для вашого відділу продажу, маркетингу, потенційних Enterprise-клієнтів

Як ми досягаємо ваших цілей

Галузеві стандарти, виконані senior-інженерами.

Стандарти

Методології, яких дотримуємося

  • OWASP
  • PTES
  • NIST SP 800-115
  • MITRE ATT&CK

Вимоги compliance, які закриваємо

  • SOC 2
  • ISO 27001
  • GDPR
  • HIPAA
  • PCI DSS

Принципи, на яких будуємо роботу

Ручний хакінг

Сканери — лише базовий рівень. Кожна знахідка зібрана та підтверджена senior-інженером — експлуатована й об'єднана в ланцюжки вручну, з урахуванням контексту вашої платформи.

Циклічно, а не лінійно

Кожна знахідка живить наступну. Новий доступ відкриває нову поверхню атаки. Ми повертаємося, копаємо глибше та вибудовуємо ланцюжки — поки не досягнемо максимального впливу, який дозволяє ваша архітектура.

Бізнес-вплив, а не список багів

Список CVE не каже, що атакуючий реально зробить із вашим бізнесом. Ми переводимо кожну знахідку в сценарій реального світу — що компрометується, хто що втрачає та як розгортається ланцюжок.

Лише senior-інженери

Жодних джунів, що вчаться на вашому продукті, жодного аутсорсу для підстраховки, жодної заміни інженерів посеред проєкту. Кожним проєктом керують senior-інженери наступальної безпеки з глибоким досвідом у B2B SaaS.

Якість важливіша за швидкість

Ми не конвеєр, оптимізований під пропускну здатність. Беремо менше проєктів одночасно й глибоко занурюємось у кожен — це свідомий вибір.

Не нашкодити

Усі тести відбуваються за підписаним Rules of Engagement. Дії з високим ризиком у продакшені заздалегідь узгоджуємо з вами. Critical-знахідки запускають негайне сповіщення — без сюрпризів і поламаних середовищ.

Застосовні знахідки, нуль false-positive

Кожна знахідка перевірена, пріоритизована та задокументована з кроками відтворення та рекомендаціями. Ваші інженери точно знають, що чинити першим — і не марнують день на шум.

Комунікація інженер–інженер

Прямий доступ до наших інженерів упродовж усього проєкту. Жодних посередників із продажів, жодних project-менеджерів, що фільтрують технічні деталі.

Хакінг як ремесло

Ми наймаємо інженерів, які хакають у вільний час — для рисерчу, для CTF, заради самого ремесла. Наша команда сприймає кожен проєкт як задачу, яку треба розв'язати, а не тікет, який треба закрити.

Від вашого першого повідомлення до фінального сертифіката

Структурований проєкт, побудований навколо вашої команди: senior-інженери, пряма комунікація, нуль сюрпризів.

  1. Перша розмова

    Що відбувається
    • Ви пишете нам — дзвінком, формою або email, як вам зручніше
    • Відповідає senior-інженер (не sales-менеджер)
    • Разом визначаємо цілі та скоуп проєкту
    • Чесно говоримо, чи підходимо ми вам і що реально варто тестувати
    Ви отримуєте Чітку відповідь щодо напрямку — і чи підходимо ми одне одному — до підписання чого-небудь.

  2. Скоуп і комерційна пропозиція

    Що відбувається
    • Технічна сесія з вашою командою, щоб зрозуміти архітектуру, ролі та поверхню застосунку
    • Проводимо вас по зразку звіту, щоб ви точно знали, як виглядають артефакти
    • Ви отримуєте детальну комерційну пропозицію: скоуп, підхід, терміни, ціна
    Ви отримуєте Повну пропозицію та зразок звіту, які можна показати вашим CTO, CISO, CEO й закупівлям перед ухваленням рішення.

  3. Kick-off

    Що відбувається
    • Підписано контракт і NDA
    • Підписано Rules of Engagement — чіткі межі: що тестуємо, коли і як
    • Видача доступів і передача документації
    • На проєкт призначається senior-інженерна команда та проводиться її бриф
    Ви отримуєте Підписаний контракт, документ Rules of Engagement, підсумок kick-off-зустрічі.

  4. Розвідка та моделювання загроз

    Що відбувається
    • Пасивний збір інформації за вашою публічною поверхнею
    • Картування архітектури — як побудований застосунок і де зони найбільшого ризику
    • Модель загроз: що варто атакувати та як реально підходитиме до вашого продукту атакуючий
    • На час проєкту піднімається прямий канал інженер–інженер
    Ви отримуєте Якщо на цьому етапі виринає щось термінове — повідомляємо негайно. В іншому ж — цей етап прямо живить подальші тести.

  5. Активна експлуатація

    Що відбувається
    • Ручний хакінг, пошук та експлуатація вразливостей
    • Складання ланцюжків атак з кількох знахідок
    • Оцінка впливу для кожної знахідки перед експлуатацією в продакшені
    • Постійний цикл: кожен новий доступ відкриває нову поверхню, ми йдемо глибше
    Ви отримуєте Якщо знаходимо критичний шлях атаки, який легко експлуатувати та потребує негайних дій, ви отримуєте Терміновий проміжний звіт — сповіщення з кроками відтворення та рекомендованою відповіддю. Ми продовжуємо тестувати, ви починаєте усувати паралельно.

  6. Передача основного звіту

    Що відбувається
    • Знахідки консолідовано, перевірено та задокументовано
    • Підготовлено Технічний звіт і Стислий звіт для керівництва
    • Дорожню карту усунення пріоритизовано
    Ви отримуєте Технічний звіт (для ваших інженерів) і Стислий звіт для керівництва (для ради, Enterprise-клієнтів та аудиторів).

  7. Дебриф

    Що відбувається
    • Розбір знахідок із вашою інженерною командою
    • Розбір бізнес-впливу з вашим керівництвом
    • Q&A щодо пріоритетів усунення — що чинити першим і чому
    Ви отримуєте Пріоритизовану дорожню карту усунення та прямі відповіді на питання вашої команди.

  8. Супровід усунення

    Що відбувається
    • Підтримка ваших розробників упродовж усього циклу виправлень
    • Роз'яснення векторів атак і підходів до усунення
    • Темп задає ваша команда — ми не підганяємо й не затягуємо
    Ви отримуєте Технічний супровід під час усунення в межах вашого проєкту.

  9. Повторне тестування та фінальний сертифікат

    Що відбувається
    • Кожна усунена знахідка повторно перевіряється тим самим способом експлуатації
    • Перевіряємо, що виправлення дійсно тримає — не «полагоджено» на папері
    • Видаються оновлені звіти та сертифікат безпеки
    Ви отримуєте Звіт про повторне тестування, оновлений Технічний звіт і ваш Сертифікат безпеки.

Визнані галуззю

Топові рейтинги на галузевих платформах

  • Top Clutch — Application Security Company 2026
  • Clutch Fall Champion 2025
  • Top Clutch — Penetration Testing 2026
  • Top Penetration Testing 2024 Award

Сертифікації наших інженерів

  • OSCP+
  • CRTL
  • BSCP
  • OSEP
  • CEH
  • PNPT

Їхніми власними словами

Enterprise · аудит SaaS-вендорів
XRAY CyberSecurity надали комплексний, добре структурований звіт із практичними рекомендаціями щодо посилення безпеки нашого застосунку. Ми отримали два звіти — детальний Технічний та окремий для керівництва — що дало змогу швидко презентувати результати топ-менеджменту та скласти план дій. Готовність напряму спілкуватися з нашими підрядниками суттєво пришвидшила усунення.
Iryna Grynchii Cybersecurity Manager · Danone Повний відгук на Clutch →
SaaS · email-платформа
XRAY CyberSecurity провели пентест наших продуктів, побудованих на різних технологіях. Ми виявили вразливості, усунули їх та отримали підтвердження через повторне тестування, що їх закрито. Спілкування з командою радше нагадувало роботу з колегами, ніж зі стороннім підрядником — професіонали, експерти, дали цінні поради.
Oleg Bida Information Security Manager Повний відгук на Clutch →
SaaS · LMS-платформа
XRAY CyberSecurity провели grey-box пентест за методологією OWASP. Їхній ретельний ручний аналіз виявив вразливості, що заслуговують уваги, а детальні технічний та executive-звіти — з подальшим повторним тестуванням, що підтвердило усунення — дали нам змогу пройти сертифікацію за ISO 27001.
Alex Slubskyi CTO · Davintoo Повний відгук на Clutch →
SaaS · логістична платформа
XRAY CyberSecurity провели ретельну оцінку наших веб-застосунків і хмарних середовищ, моделюючи сценарії реальних атак. Детальні звіти містили зрозумілі, застосовні висновки, які суттєво покращили нашу security-postur, а вміння доносити складні знахідки в простій формі було неоціненним для нашої команди.
Taras Komenda CEO · MINT Innovations Повний відгук на LinkedIn →
Застосунок
Роботу виконано швидко та професійно. Фахівці XRAY CyberSecurity вказали на наші вразливі місця, що дало нам змогу покращити якість ПЗ. Ми отримали звіт із детальними сценаріями проникнення та технічними й організаційними рекомендаціями щодо усунення й запобігання.
Oleg Khavruk IT Director · Nash Format Повний відгук на Forbes →
5/5 на Clutch читати всі відгуки

Готові тестувати ваш застосунок?

Зв'язатися з нами Записатися на дзвінок

Поширені запитання

Чи вплине тестування на наше продакшн-середовище?

Ні, і це свідомо. Кожен проєкт іде за підписаним Rules of Engagement, де зафіксовано, що саме ми тестуємо, коли і як. Дії з високим ризиком у продакшені — усе, що може вплинути на продуктивність, цілісність даних чи реальних користувачів — заздалегідь погоджуємо з вами та виконуємо лише з вашого явного дозволу. Ми жодного разу не поклали продакшн клієнта, і наш процес побудований так, щоб це не змінювалося.

Якщо вам зручніше тестувати на staging — працюємо з тим, що є. Нам не потрібне окреме середовище, щоб отримати реальні знахідки — ми адаптуємося до вашого.

Чи пройде ваш звіт перевірку нашого аудитора та служби безпеки Enterprise-клієнта?

Так. Тестування побудоване на OWASP WSTG, PTES і NIST SP 800-115 — методологіях, які очікують побачити аудитори SOC 2 та ISO 27001. Кожен звіт містить Стислий звіт для керівництва, написаний для закупівель і топ-менеджменту, і Технічний звіт із кроками відтворення та рекомендаціями для інженерів.

Наші звіти приймали служби безпеки глобальних Enterprise — зокрема ті, хто наймав нас напряму для перевірки своїх SaaS-постачальників. Пройдуть і у вас.

А якщо ви не знайдете вразливостей?

Це рідкість — у проєктах із B2B SaaS ми завжди знаходили щось, що варто включити у звіт. Але якщо не знайдемо, ви все одно отримаєте повний набір артефактів: звіт, що підтверджує глибину тестування, застосовані методології та охоплені компоненти. Це той самий документ, що потрібен вашим аудиторам та Enterprise-клієнтам.

Чистий пентест від senior-команди — теж значущий результат, яким мало які продукти реально можуть похвалитися.

Як ви працюєте з конфіденційністю, нашими даними та юридичною відповідальністю?

Кожен проєкт починається з підписаного NDA і контракту з XRAY CyberSecurity — повна корпоративна та юридична відповідальність. Знахідки, артефакти експлуатації та будь-які дані, до яких отримано доступ під час тестів, зберігаються зашифрованими, доступні лише призначеним інженерам та видаляються з наших систем після закриття проєкту (точний строк зберігання зафіксовано в контракті).

У нас є страхування професійної відповідальності, а команда працює за суворими внутрішніми політиками поводження з даними. Якщо щось піде не так — є юрособа, з якої можна спитати, з правовими механізмами, а не «надією».

Скільки зусиль це потребуватиме від нашої команди?

Менше, ніж очікує більшість клієнтів. Основне навантаження — у перші дні: видача доступів, передача документації та розбір архітектури на kick-off. Далі участь вашої команди здебільшого зводиться до рідкісних уточнювальних питань.

Реальні витрати часу припадають на етап усунення, коли ваші інженери виправляють знахідки. Це йде за вашим графіком, не за нашим — і ми підтримуємо їх прямою технічною консультацією, а не новими мітингами.

Чи потрібно вимикати WAF, додавати ваші IP у whitelist або координуватися з нашим SOC і моніторингом під час тестів?

Усі ці питання обговорюємо на kick-off і підлаштовуємося під ваш сетап.

У більшості проєктів радимо або додати наші IP у whitelist на рівні WAF (тоді ми тестуємо застосунок, а не ваш периметр), або явно тестувати поведінку WAF як частину скоупу — на ваш вибір. Якщо у вас є SOC чи команда моніторингу, ми погоджуємо сповіщення, щоб наші тести не запускали зайве реагування на інцидент. Ми мінімізуємо шум — але не вимикаємо жодних захистів без вашого рішення.

А якщо нам треба поставити проєкт на паузу чи перенести його?

Так буває — релізний аврал, внутрішні інциденти, зміни в керівництві. Наш процес розрахований на це. Паузи погоджуємо з вашою командою, терміни проєкту відповідно зсуваються, і за розумне перенесення в межах періоду проєкту штрафів немає.

Чи входить повторне тестування? Скільки часу в нас є на усунення, перш ніж ми втратимо можливість повторного тесту?

Повторне тестування входить у кожен проєкт — без окремої оплати. Після того як ваша команда усуне знахідки, ми перевіряємо кожну тим самим способом експлуатації, щоб упевнитися, що виправлення дійсно тримає, і випускаємо оновлений Технічний звіт та Сертифікат безпеки.

Вікно повторного тесту погоджуємо заздалегідь і фіксуємо у скоупі, щоб у вашої команди був реальний час на усунення. Ми не підганяємо, не затягуємо й не виставляємо рахунок повторно за роботу, яка й так мала бути частиною початкового проєкту.

Чи є приховані платежі? Що реально входить у ціну?

Ціна в пропозиції — це ціна, яку ви платите. Вона фіксована, прописана в контракті та прив'язана до погодженого скоупу. У неї входить повний цикл від kick-off до фінального сертифіката: тестування, всі звіти (Терміновий проміжний, Технічний, Стислий для керівництва, Повторного тесту), дебриф-дзвінок, супровід усунення, повторне тестування та Сертифікат безпеки.

Ніяких прихованих платежів, оплати «за знахідку», доплат за повторні тести, звіти чи подальші дзвінки. Ціна змінюється тільки якщо ви вирішуєте розширити скоуп у процесі — додати нові компоненти, нові ролі чи нові застосунки. У цьому разі ми оцінюємо додаткові трудовитрати та письмово погоджуємо зміни з вами до початку робіт. У рахунку — жодних сюрпризів.

Поговоримо.

Розкажіть про задачу, яку хочете розв'язати.

Або одразу запишіться на 20-хвилинний дзвінок