Een kwetsbaarheidsscan is een geautomatiseerd proces dat gespecialiseerde tools inzet om bekende beveiligingszwakheden in systemen, netwerken, applicaties en configuraties op te sporen. Scanners vergelijken de doelomgeving met databases van bekende kwetsbaarheden (zoals CVE-vermeldingen) en misconfiguraties, en produceren rapporten met gevonden problemen en bijbehorende ernstclassificaties. Scans kunnen geauthenticeerd zijn (met inloggegevens voor diepgaandere inspectie) of ongeauthenticeerd (het perspectief van een externe aanvaller simulerend).
Kwetsbaarheidsscanning is een kosteneffectieve manier om continu inzicht te behouden in de beveiligingsstatus van een organisatie en is een vereiste beheersmaatregel in veel compliance-raamwerken. Scans dienen op regelmatige basis en na significante wijzigingen in de omgeving te worden uitgevoerd, waarbij de resultaten in het bredere kwetsbaarheidsbeheerproces worden opgenomen. Het contextueel interpreteren van scanresultaten is belangrijk, aangezien fout-positieven herstelinspanningen verspillen terwijl fout-negatieven kritieke zwakheden onopgemerkt kunnen laten.