Hoy en día's es difícil. Los sitios porno de pago suelen ser atacados por script kiddies y crackers de nivel bajo o medio, por lo que son bastante resistentes a ellos.
Los sitios emplean CAPTCHA para detener la fuerza bruta, utilizan la limitación de la velocidad de inicio de sesión también (en caso de que el CAPTCHA se rompa), la prohibición de IP, y el bloqueo de nombre de usuario. La mayoría utilizará la detección de IP por nombre de usuario, por lo que, si el mismo nombre de usuario se está utilizando desde varios países en el mismo período de tiempo, la cuenta se suspende.
Los formularios serán inmunes a la inyección SQL y técnicas similares de escalada de privilegios. La superficie de ataque se reduce mediante SSH y SFTP limitados a puertos específicos (inusuales), limitados a IP específicas, certificados SSL requeridos para las áreas de administración, actualización regular (e inherentemente segura) de la pila LAMP, y enfoques similares, reduciendo o des-permitiendo completamente el cross-site scripting (de hecho, limitando el uso de JS de terceros por completo).
Pero tal vez lo más importante, los desarrolladores son entrenados para mantener una mentalidad de seguridad (que es uno de nuestros Principios de Desarrollo Web), porque como dijo Bruce Schneier,
Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende los problemas y no entiende la tecnología.
Un problema más común es la gente que utiliza tarjetas de crédito robadas para comprar el acceso "legítimamente" (es decir, tienen su propio nombre de usuario y contraseña), pero el lavado de fraude atrapa muchos de estos.
Algunos sitios pagan una recompensa por la identificación de los fallos de seguridad (como el nuestro), por lo que puede ser un mejor uso de su tiempo...