El análisis de vulnerabilidades es la segunda parte de la fase de escaneo y tiene como objetivo identificar si un sistema es débil o susceptible de ser afectado/atacado de alguna manera (hardware, software, telecomunicaciones, humanos). Su orden cronológico sería el siguiente:

1. Identificación vulnerabilidades en versiones de aplicación y sistemas operativos.
2. Gestión de parches (patch management).
3. Identificar vulnerabilidades tecnológicas y humanas.
4. Configuraciones por defecto.
5. Vulnerabilidades técnicas y funcionales.