Digamos que he creado mi propio servidor web desde cero. Muy, muy simple y vulnerable. Lo voy a utilizar en producción. A pesar de ser vulnerable, ¿será factible ejecutarlo con nginx y configurar nginx como un proxy inverso?
Internet <-----> nginx <----------> my server
Esto mitigará las consecuencias ya que mi propio servidor no estará expuesto a Internet sino que funcionará internamente.
"Tal vez" y "a veces" son la única respuesta que puede obtener. nginx puede evitar que las solicitudes mal formadas lleguen a su servidor vulnerable, sin embargo, solo se interrumpirá en las cosas que no entienda y generará un error. Un exploit puede ser completamente sintácticamente correcto, en cuyo caso nginx no lo protegerá.
Sin una auditoría en profundidad de su código de servidor, nadie podrá saberlo. Si está utilizando esto en un entorno de producción real, realmente debería usar un marco de servidor web real porque probablemente sea más seguro.
Muy-muy simple y vulnerable. Lo voy a utilizar en producción.
Creo que has resaltado tu propio problema aquí.
Nunca debe desplegar a sabiendas algo en un entorno de producción que sepa que es vulnerable. Tratar de ocultarlo detrás de Nginx limita la seguridad a la oscuridad, lo que nunca es una buena práctica.
¿Esto mitigará las consecuencias
No, todavía tienes un backend web inseguro a sabiendas. No puede estar seguro de que no está aceptando conexiones directas o procesando paquetes ascendentes desde Nginx de una manera peligrosa.
Su mejor apuesta es no rodar su propio servidor web o tomar algunas medidas serias para construirlo y protegerlo correctamente.