De nos jours's c'est'difficile. Les sites pornographiques payants sont souvent attaqués par des script kiddies et des crackers de niveau faible à moyen, et sont donc assez résistants à ces attaques.
Les sites emploient des CAPTCHA's pour arrêter le brute forcing, utilisent également la limitation de la vélocité de connexion (au cas où le CAPTCHA serait craqué), le bannissement d'IP et le verrouillage de nom d'utilisateur. La plupart utiliseront la détection d'IP par nom d'utilisateur, ainsi, si le même nom d'utilisateur est utilisé depuis plusieurs pays dans la même période, le compte est suspendu.
Les formulaires seront immunisés contre l'injection SQL et les techniques similaires d'escalade de privilèges. La surface d'attaque est réduite par SSH et SFTP limités à des ports spécifiques (inhabituels), limités à des IP's spécifiques, des certs SSL requis pour les zones d'administration, une pile LAMP régulièrement mise à jour (et intrinsèquement sécurisée), et des approches similaires, réduisant ou interdisant complètement le cross-site scripting (en fait, limitant entièrement l'utilisation de JS tiers).
Mais peut-être le plus important, les développeurs sont coachés pour Maintenir un état d'esprit de sécurité (c'est l'un de nos Principes de développement Web), car comme l'a dit Bruce Schneier,
Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous ne comprenez pas les problèmes et vous ne comprenez pas la technologie.
Un problème plus courant est celui des personnes qui utilisent des cartes de crédit volées pour acheter un accès " légitime " (ie, avoir leur propre nom d'utilisateur et mot de passe), mais le fraud scrubbing en attrape beaucoup.
Certains sites versent une prime pour l'identification des failles de sécurité (comme le nôtre), donc c'est peut-être une meilleure utilisation de votre temps ?
.