撞库的攻击原理其实非常简单，黑客需根据收集到的用户信息对数据库不断进行碰撞攻击，这种攻击并不一定每次都能成功。具体的攻击原理如下：黑客会利用特定的工具，针对要攻击的站点的相关接口，提交大量所搜集到的用户名/密码组合。提交后会对登陆成功的用户名/密码组合进行统计记录，并利用该组合登录该用户的其他账号（如银行账号），对用户的财产、重要资料等进行盗取。

根据攻击目的进行划分，撞库攻击的常见场景一般分为三种：弱密码嗅探，如 11111、22222 这类常见的较为简单的密码，攻击者可以自行随机构造进行攻击尝试；利用拖库数据，当黑客利用一组信息成功侵入以站点后，会从该站点的数据库中获取该数据库中所存储的所有用户名密码组合，并利用这些组合接着去其他站点尝试攻击；暴力破解，针对一些高权限的账号，会使用大量的密码尝试进行攻击。