Jeremiah Grossman氏のブログなどに書かれていますが、非公開としていたJiktoのソースコードが流出したそうです。

あわせて、先月のShmooConでのプレゼン資料が公開されています（概要だけならば、この資料の方が理解しやすいです）。

ソースコードとプレゼン資料を見ましたが、どうも私が想像していたのとは違いました。どちらかというと、JiktoはカスタムWebAP用の脆弱性スキャナに近いもののようです（Niktoとは毛色が違います）。

Jiktoは他のカスタムWebAP用の脆弱性スキャナと同じように、リンクを辿ってページを探索し、脆弱性の有無を調べます（ページはXHRで取得する）。現状では、検査対象となる脆弱性は、XSSとバックアップファイルの存在のみで、しかも非常にシンプルな攻撃パターンしか備えていません。

ポイントは、プロキシサイトや、同等の動きをするGoogle Transferなどの翻訳サイトを間にかますことです*1。これにより、Same Origin制約にしばられず、ドメイン横断的な検査が可能になります。

私は実際には動かしてませんが、Jiktoを使えば一部の簡単な脆弱性を探し出すことができると思いました。ただ、JavaScriptの制限や、プロキシをかませることなどから、様々な制約が生じます。そのため、Jiktoは、今後頑張って攻撃パターンを増やそうとも、一般の脆弱性スキャナにかなうような実用的な攻撃検査ツールにはなりえないものだと思います。あくまでJavaScriptの可能性を示すデモンストレーションという位置付けのものなんでしょう。

最後に、流出した経緯がIDGの記事に書かれています。トホホな感じです。