Jiktoの話です。

Billy Hoffman氏本人のブログを見ると、以下のように書いています（下線は私が付けたものです）。

I'll discuss how JavaScript is capable of crawling and auditing 3rd party websites just like a traditional web scanner. As a proof of concept, I created Jikto, a web scanner written in JavaScript. Although I will not be releasing the source code of Jikto, I will be giving a full live demo and provide a detailed discussion about its methodology and architecture.

http://portal.spidynamics.com/blogs/spilabs/archive/2007/03/22/Speaking-at-Shmoo.aspx

Same Origin制約が壊れているのでなければ、そんなに大したことはできないような気がします。imgタグなどを使ってのポートスキャンや、win.ini や .htaccess.bak みたいなファイルを探すくらいかなと推測しています。

要は名前の通り、Niktoなどがやるタイプの診断（Webサーバ診断であって、カスタムWebアプリケーションの診断ではない）の一部を、JavaScriptで行なうということかなと。

実際のところどうなのかなー。今週末が発表だったはず。ちょっと気になっています。