Au cours de cette phase, l’auditeur détermine, à l’aide des résultats obtenus à l’étape précédente, les vulnérabilités potentielles et des outils nécessaires à leur exploitation. En pratique, l’auditeur teste la résistance du système face aux failles connues, via une analyse automatisée des vulnérabilités, ainsi il établit pour chacune le type des applications et des services concernés.
Nessus est un exemple d’outil de test automatique de vulnérabilités, il offre des rapports évolués sur les degrés des vulnérabilités et les risques qu’imposent des failles détectées sur le système audité. Sara, Whisker, Webserver, fingerprinting, karma et Tnscmd.pl sont d’autres exemples d’outils d’analyse de vulnérabilités des serveurs de données & d’applications.