In questi giorni's è difficile. I siti porno a pagamento sono spesso attaccati da script kiddies e cracker di livello medio-basso, e quindi sono abbastanza resistenti a loro.
I siti impiegano CAPTCHA's per fermare il brute forcing, usano anche la limitazione della velocità di accesso (nel caso in cui il CAPTCHA sia violato), il blocco dell'IP e del nome utente. La maggior parte userà il rilevamento dell'IP per nome utente, quindi, se lo stesso nome utente viene utilizzato da più paesi nello stesso periodo di tempo, l'account viene sospeso.
I moduli saranno immuni da SQL injection e simili tecniche di escalation dei privilegi. La superficie di attacco è ridotta da SSH e SFTP limitati a porte specifiche (insolite), limitati a IP specifici, certificati SSL richiesti per le aree di amministrazione, stack LAMP regolarmente aggiornati (e intrinsecamente sicuri), e approcci simili, riducendo o dis-consentendo completamente il cross-site scripting (in effetti, limitando l'uso di JS di terze parti interamente).
Ma forse la cosa più importante è che gli sviluppatori vengono istruiti a mantenere una mentalità di sicurezza (è uno dei nostri principi di sviluppo web), perché come ha detto Bruce Schneier,
se pensate che la tecnologia possa risolvere i vostri problemi di sicurezza, allora non capite i problemi e non capite la tecnologia.
Un problema più comune è la gente che usa carte di credito rubate per acquistare l'accesso "legittimamente" (cioè, hanno il proprio nome utente e password), ma il fraud scrubbing cattura molti di questi.
Alcuni siti pagano una taglia per identificare falle di sicurezza (come il nostro), quindi questo potrebbe essere un uso migliore del vostro tempo?