链接打开的网页有木马程序，被下载到本地然后读取了本地手机cache的支付宝用户名和密码，然后传回网站，攻击者得到信息就能登录进去。不过有一点不能确定就是支付宝换一个设备登录应该会发送手机短信验证码，不知道它是怎么绕过这个机制的。难道手机cookie里面有不需要手机验证的flag吗？