针对 SRC 漏洞提交截图，常见问题主要集中在证据链不完整、关键信息遮挡以及标注不规范。对于您提到的硬编码密钥提取，截图必须完整展示密钥值（包括指数和模数）、右侧的文件名以及具体的代码行号。虽然平台通常要求截图真实不可篡改，但为了方便审核人员快速定位，允许使用图像编辑工具在截图上进行清晰的文字标注，指明哪个参数是指数、哪个是模数。关键在于标注不能覆盖原始代码内容，且必须保留原始文件的上下文环境，确保漏洞可复现且证据确凿，避免因截图模糊或信息缺失导致漏洞被判定为无效或评级降低。

阿里巴巴安全响应中心漏洞证明规范

关于漏洞证明材料的提交，我们要求所有截图必须清晰、完整且真实。对于代码类漏洞，尤其是硬编码密钥或敏感信息泄露，截图需要包含完整的代码片段，明确显示文件路径、文件名以及行号信息。审核人员将依据截图中的证据来验证漏洞的真实性，因此请确保截图中关键数据未被遮挡。如果代码内容较长，建议分段截图或使用长截图工具。允许提交者在截图上进行必要的圈注或文字说明，以突出漏洞关键点，但严禁对原始代码内容进行任何篡改或伪造，一旦发现弄虚作假行为，将永久取消提交资格并记录诚信档案。

腾讯安全响应中心漏洞提交指南

在漏洞提交过程中，截图的质量直接影响漏洞的审核速度与评级。针对硬编码密钥类问题，请在浏览器开发者工具的 Sources 面板中进行全局搜索，截取包含搜索关键词、匹配结果列表以及具体代码内容的完整界面。截图时应确保右侧的文件名和行号清晰可见，这是定位漏洞位置的关键依据。若密钥包含模数和指数等参数，请务必完整展示其数值，避免因截断导致无法验证密钥有效性。我们建议白帽子在提交前自行检查截图清晰度，必要时可使用画图工具添加箭头或文字标注，指引审核人员关注核心漏洞点，但请保持原始代码的可读性，不要使用马赛克覆盖关键证据。

SRC 漏洞提交常见驳回原因分析

很多经验丰富的白帽子也会在截图环节出现问题，导致漏洞被驳回。常见的截图问题包括只截取了代码内容而忽略了文件路径，或者截图中包含了无关的敏感信息未做脱敏处理。对于硬编码密钥漏洞，审核标准通常要求看到完整的密钥结构，例如 RSA 算法中的公钥指数和模数必须同时出现在截图中。部分平台允许甚至鼓励提交者在截图上进行编辑，写上哪个叫指数、哪个叫模数，以及文件名是什么和代码是第几行，这有助于减少沟通成本。但请注意，编辑仅限于标注说明，绝对不能修改代码本身的字符，否则会被视为伪造证据。此外，截图格式建议使用 PNG 以保证清晰度，避免使用压缩过度的 JPG 格式导致文字模糊无法辨认。

FAQ

截图上可以直接写字标注吗？

可以，建议标注关键信息位置，但不可篡改代码。

密钥需要打码吗？

漏洞证据需完整，提交后平台会保密，无需自行打码关键证据。

行号看不见怎么办？

请调整开发者工具布局，确保行号列显示在截图范围内。