购物H5商城架构运维之路

一、引言

公司属于旅游行业,需要将旅游,酒店,购物,聚合到线上商城。通过对会员数据进行聚合,形成大会员系统,从而提供统一的对客窗口。

二、业务场景

围绕更加有效地获取用户,提升用户的LTV(Life Time Value,生命周期总价值)的整体工作目标,在用户拉新成本越来越高的情况下,业务线上化,科技场景化,客户数字化,流量运营的精细化成为企业提升经营效益和效率的主要举措。结合公司的产业特点,需要为会员在"行前、行中、行后"过程中,更加精准地提供相关产品和服务的信息,提供更加便捷地、一站式的消费体验,更好地满足消费者对于品质和个性化的需求。

三、系统业务架构

四、上线后面临的问题

1、网络安全问题

  • 跨站脚本攻击(CSS or xSS,Cross Site Scripting)
  • SQL注入攻击(SQL injection)
  • 远程命令执行(Code execution,个人觉得译成代码执行并不确切)
  • 目录遍历(Directory traversal)
  • 文件包含(File inclusion)
  • 脚本代码暴露(Script source code disclosure)
  • 跨帧脚本攻击(Cross Frame Scripting)
  • Cookie篡改(Cookie manipulation)
  • URL重定向(URL redirection)

2、容灾问题

部署异地灾备中心,生产环境与灾备中心数据实时同步。

3、系统安全与数据合规问题

在不影响系统正常运行的情况下,设置账户口令策略:密码最长使用期限:90天。

在不影响系统正常运行的情况下,限制账户口令非法尝试登录次数和锁定时间: 账户锁定阈值:5次; 账户锁定时间:30分钟。 设置登录连接超时时间: 10分钟。

采用动态口令、数字证书、加密USB-Key、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别。

进行角色划分,严格控制访问权限,达到三权分立; 在操作系统上对可登录数据库的所有用户进行分配单独的系统账户,且账户权限的分配应遵循其职责范围内的最小账户权限,实现管理用户的权限分离。

使用校验技术或密码技术进行传输数据完整性比对校验,如SSL/TLS加密协议。

采用加密算法对配置文件、日志文件、重要业务数据等运算生成校验码进行完整性比对,或通过监控工具对文件完整性进行监控。

制定个人信息保护制度对系统采集和存储用户个人信息进行声明。

4、web漏洞问题

Apache Commons Text StringLookup 远程代码执行漏洞

Spring Cloud Gateway spel 远程代码执行

Apache Spark 管理员后台未授权访问

Apache Spark 管理员后台未授权访问

Spring Data MongoDB SpEL表达式注入漏洞

fastjson <= 1.2.68 反序列化远程代码执行漏洞

fastjson <= 1.2.80 反序列化任意代码执行漏洞

Apache Spark RPC协议反序列化漏洞

Apache Spark 管理员后台未授权访问

Apache POI <= 4.1.0 XSSFExportToXml XXE漏洞

Jackson 最新反序列化漏洞

相关推荐
酒旅Agent开发实战1 天前
AI 旅行规划助手如何接入真实酒旅数据:从自然语言到酒店预订的全流程 MCP 实战
人工智能·ai·旅游·skill·酒店api·机票api
2601_962440842 天前
计算机毕业设计之健身房管理系统的设计与实现
java·开发语言·课程设计·旅游·宠物
第***月19 天前
免费双人旅游卡批发,一张起批
旅游
道可云20 天前
5A景区智慧导览服务:从评审标准到技术实践——解析“道可云”智能导览系统如何以“VR+轻量化”重塑文旅体验
人工智能·旅游
第***月20 天前
云南跟团行:在山水与烟火间读懂远方
科技·生活·旅游·美食·风景
信实翻译21 天前
探险旅游翻译:跨越语言与自然的专业桥梁
旅游
亲爱的译官.23 天前
能精准双语翻译的智能手表!独立离线可用,全能好用更省心
人工智能·旅游·智能手表·亲爱的翻译官·翻译设备
2601_9555052524 天前
自然人身份确权可信基础设施赋能多源身份合规
金融·车载系统·智能家居·健康医疗·旅游·教育电商·政务
2601_957190901 个月前
极致裸眼沉浸!飞行影院重塑文旅游玩新体验
大数据·人工智能·旅游
Antom全球收单1 个月前
面向全球旅客的支付体验,跨境旅游支付平台如何用Antom提升转化率
旅游